Los atacantes pueden leer chats, enviar spam, interceptar y escuchar llamadas telefónicas
Los modelos económicos de dispositivos Android que son versiones falsificadas asociadas con marcas populares de teléfonos inteligentes albergan múltiples troyanos diseñados para apuntar a las aplicaciones de mensajería de WhatsApp y WhatsApp Business.
El malware, que Doctor Web descubrió por primera vez en julio de 2022, se descubrió en la partición del sistema de al menos cuatro diferentes teléfonos inteligentes: P48pro, radmi note 8, Note30u y Mate40.
"Estos incidentes están unidos por el hecho de que los dispositivos atacados eran imitaciones de modelos de marcas famosas", dijo la firma de ciberseguridad en un informe publicado ayer.
"Además, en lugar de tener instalada una de las últimas versiones del sistema operativo con la información correspondiente que se muestra en los detalles del dispositivo (por ejemplo, Android 10), tenían la versión 4.4.2 obsoleta".
Específicamente, la manipulación se refiere a dos archivos "/system/lib/libcutils.so" y "/system/lib/libmtd.so" que se modifican de tal manera que cuando cualquier aplicación utiliza la biblioteca del sistema libcutils.so, desencadena la ejecución de un troyano incorporado en libmtd.so.
Si las aplicaciones que usan las bibliotecas son WhatsApp y WhatsApp Business, libmtd.so procede a lanzar una tercera puerta trasera cuya principal responsabilidad es descargar e instalar en los dispositivos comprometidos plugins adicionales desde un servidor remoto.
"El peligro de las puertas traseras descubiertas y los módulos que descargan es que funcionan de tal manera que en realidad se convierten en parte de las aplicaciones objetivo", dijeron los investigadores.
"Como resultado, obtienen acceso a los archivos de las aplicaciones atacadas y pueden leer chats, enviar spam, interceptar y escuchar llamadas telefónicas y ejecutar otras acciones maliciosas, según la funcionalidad de los módulos descargados".
Por otro lado, si la aplicación que usa las bibliotecas resulta ser wpa_supplicant, un demonio del sistema que se usa para administrar las conexiones de red, libmtd.so está configurado para iniciar un servidor local que permite conexiones desde un cliente remoto o local a través de la consola "mysh".
Doctor Web teorizó que los implantes de partición del sistema podrían ser parte de la familia de malware FakeUpdates (también conocido como SocGholish) basado en el descubrimiento de otro troyano incrustado en la aplicación del sistema responsable de las actualizaciones de firmware por aire (OTA).
La aplicación no autorizada, por su parte, está diseñada para filtrar metadatos detallados sobre el dispositivo infectado, así como para descargar e instalar otro software sin el conocimiento de los usuarios a través de secuencias de comandos Lua.
Para evitar el riesgo de ser víctima de tales ataques de malware, se recomienda que los usuarios compren dispositivos móviles solo en tiendas oficiales y distribuidores legítimos.