研究人员发现假冒手机有后门入侵 WhatsApp 账户

Hackernews 编译，转载请注明出处：

与流行智能手机品牌相关的廉价安卓设备型号是假冒版本，其中包含多个特洛伊木马，旨在攻击WhatsApp和WhatsApp Business消息传递应用程序。

Doctor Web于2022年7月首次发现的特洛伊木马，是在至少四款不同智能手机的系统分区中发现的：P48pro、radmi note 8、Note30u和Mate40。

这家网络安全公司在8月22日发布的一份报告中表示：“这些事件是由于被攻击的设备是著名品牌型号的仿冒品而造成的。此外，他们没有安装最新的操作系统版本，而是使用了早已过时的4.4.2版本，并在设备详细信息中显示相应的信息（例如，Android 10）。”

具体来说，篡改涉及两个文件“/system/lib/libcutils.so”和“/system/lib/libmtd.so”，它们被修改为当任何应用程序使用libcutils.so系统库时，它就会触发包含在libmtd.so中的特洛伊木马的执行。

如果使用这些库的应用程序是WhatsApp和WhatsApp Business，libmtd.so会继续启动第三个后门，其主要职责是从远程服务器下载附加插件并将其安装到受损设备上。

研究人员说：“被发现的后门及其下载的模块的危险在于，它们的运行方式会成为目标应用程序的一部分。因此，他们可以访问受攻击应用程序的文件，并可以阅读聊天记录、发送垃圾邮件、拦截和监听电话，以及执行其他恶意操作，具体取决于下载模块的功能。”

另一方面，如果使用这些库的应用程序是wpa_supplicant（用于管理网络连接的系统守护进程），libmtd.so则被配置为启动本地服务器，该服务器允许通过“mysh”控制台从远程或本地客户端进行连接。

基于在负责无线固件更新的系统应用程序中嵌入的另一个特洛伊木马的发现，Doctor Web推测系统分区植入可能是FakeUpdates（又名SocGholish）恶意软件家族的一部分。

就其本身而言，流氓应用程序旨在通过Lua脚本泄露有关受感染设备的详细元数据，并在用户不知情的情况下下载和安装其他软件。

为了避免成为此类恶意软件攻击的受害者，建议用户仅从官方商店和合法经销商处购买移动设备。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文