Специалисты «Доктор Веб» обнаружили бэкдоры в системном разделе нескольких бюджетных Android-смартфонов, которые представляют собой подделки под устройства известных брендов. Малварь нацелена на выполнение произвольного кода в мессенджерах WhatsApp и WhatsApp Business, а также может использоваться в других сценариях атак, включая перехват чатов, кражу содержащейся в них конфиденциальной информации, организацию спам-рассылок и так далее.
Эксперты рассказывают, что в июле 2022 года к ним обратились сразу несколько пользователей с жалобами на подозрительную активность на принадлежащих им Android-смартфонах. Так, антивирус компании зафиксировал изменения в системной области памяти, а также появление вредоносных приложений в системном разделе (одинаковых во всех случаях).
Все инциденты объединяло то, что атакованные устройства являлись копиями моделей известных брендов. Кроме того, вместо актуальных версий Android, информация о которых демонстрируется в сведениях об устройстве (например, Android 10), на этих девайсах была установлена давно устаревшая версия 4.4.2.
Вредоносная активность была замечена как минимум на четырех моделях смартфонов: P48pro, radmi note 8, Note30u и Mate40. Как можно заметить, названия этих моделей созвучны с названиями моделей разных известных производителей (например, Redmi от компании Xiaomi, Mate от компании Huawei). Эксперты говорят, что вкупе с ложными сведениями об установленной версии ОС, это позволяет рассматривать эти устройства как подделки.
Изучение инцидентов показало, что антивирус компании зафиксировал изменения следующих объектов: /system/lib/libcutils.so и /system/lib/libmtd.so.
Исследователи объясняют, что libcutils.so — это системная библиотека, которая сама по себе не представляет опасности. Однако она была модифицирована таким образом, что при ее использовании происходил запуск трояна из файла libmtd.so. Измененная версия библиотеки детектируется как Android.BackDoor.3105.
Вторая троянская библиотека, libmtd.so, получила идентификатор Android.BackDoor.3104. Выполняемые ей действия зависят от того, какое именно приложение использует первую библиотеку libcutils.so (то есть, что привело к запуску бэкдора через нее). Если это были приложения WhatsApp и WhatsApp Business, а также системные приложения «Настройки» и «Телефон», то второй вредонос переходит к следующей стадии заражения. Для этого троян копирует в каталог соответствующего приложения другой бэкдор (отслеживается как Android.Backdoor.854.origin), а затем запускает его. Основная функция этого компонента — загрузка и установка дополнительных вредоносных модулей.
Для загрузки модулей Android.Backdoor.854.origin подключается к одному из нескольких управляющих серверов злоумышленников, передавая в запросе массив технических данных об устройстве. В ответ сервер направляет трояну список плагинов, которые тот загружает, расшифровывает и запускает.
Малварь и скачиваемые ей модули функционируют таким образом, что фактически становятся частью целевых приложений, и в этом, по словам экспертов, заключается главная опасность. В результате вредоносы получают доступ к файлам атакуемых приложений и получают возможность читать переписку, осуществлять спам-рассылки, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия — в зависимости от функциональности загруженных модулей.
В том случае, если в запуске трояна участвовало системное приложение wpa_supplicant (управляет беспроводным соединением), Android.BackDoor.3104 запускает локальный сервер. Он позволяет удаленному или локальному клиенту подключаться и работать в консольной программе mysh, которая предварительно должна быть установлена на устройство или изначально присутствовать в его прошивке.
Аналитики полагают, что наиболее вероятным источником этих вредоносных приложений в системном разделе мог выступать представитель давно известного семейства троянов Android.FakeUpdates. Злоумышленники встраивают такую малварь в различные системные компоненты — программу обновления прошивки, приложение настроек или компонент, отвечающий за графический интерфейс системы. В процессе работы вредоносы выполняют разнообразные Lua-скрипты, с помощью которых, в частности, способны загружать и устанавливать другое ПО. К тому же, именно такая малварь (Android.FakeUpdates.1.origin) была выявлена на одном из атакованных смартфонов.
