Η ρωσική εταιρεία κυβερνοασφάλειας Doctor Web εντόπισε πολλαπλές κερκόπορτες στα διαμερίσματα του συστήματος πολλών συσκευών Android που είναι πλαστές εκδόσεις δημοφιλών τηλεφώνων.
Τα ταυτοποιημένα smartphone – όλα προσποιούνται ότι είναι δημοφιλή επώνυμα μοντέλα όπως τα P48pro, Redmi Note 8, Note30u και Mate40 – είναι οικονομικά τηλέφωνα που τροφοδοτούνται από μια παρωχημένη έκδοση λειτουργικού συστήματος (Android 4.4.2), ενώ προσποιούνται ότι εκτελούν μια πιο πρόσφατη επανάληψη πλατφόρμας.
Η εκτέλεση μιας παλαιότερης έκδοσης Android αντιπροσωπεύει από μόνη της έναν κίνδυνο ασφάλειας, λαμβάνοντας υπόψη τον μεγάλο αριθμό ευπαθειών που αντιμετωπίζει η Google κάθε μήνα τα τελευταία χρόνια.
Επιπλέον, ο Doctor Web ανακάλυψε στα διαμερίσματα συστήματος αυτών των συσκευών τροποποιημένες βιβλιοθήκες που έχουν σχεδιαστεί για την εκκίνηση κακόβουλου λογισμικού όταν χρησιμοποιείται από οποιαδήποτε εφαρμογή.
Συγκεκριμένα, η βιβλιοθήκη libcutils.so τροποποιήθηκε για την εκκίνηση ενός trojan από το libmtd.so όταν χρησιμοποιείται. Εάν χρησιμοποιηθεί από εφαρμογές WhatsApp, WhatsApp Business, Ρυθμίσεις ή τηλεφωνικό σύστημα, το trojan θα προχωρήσει στην απόρριψη ενός ωφέλιμου φορτίου δεύτερου σταδίου.
Ο κύριος σκοπός του πεσμένου ωφέλιμου φορτίου, το οποίο το Doctor Web εντοπίζει ως κερκόπορτα, είναι να φέρει πρόσθετες κακόβουλες μονάδες από έναν απομακρυσμένο διακομιστή και να τις εκτελεί στη μολυσμένη συσκευή.
Σύμφωνα με τον Doctor Web, το κακόβουλο λογισμικό και οι μονάδες σχεδιάστηκαν με τέτοιο τρόπο ώστε να γίνονται μέρος των στοχευμένων εφαρμογών.
«Ως αποτέλεσμα, αποκτούν πρόσβαση στα αρχεία των εφαρμογών που δέχονται επίθεση και μπορούν να διαβάζουν συνομιλίες, να στέλνουν ανεπιθύμητα μηνύματα, να παρακολουθούν και να ακούν τηλεφωνικές κλήσεις και να εκτελούν άλλες κακόβουλες ενέργειες, ανάλογα με τη λειτουργικότητα των μονάδων που έχουν ληφθεί», λέει η εταιρεία κυβερνοασφάλειας.
Ο Doctor Web ανακάλυψε επίσης ότι, εάν η εφαρμογή συστήματος wpa_supplicant (η οποία ελέγχει τις ασύρματες συνδέσεις) καλεί την τροποποιημένη βιβλιοθήκη, η βιβλιοθήκη libmtd.so trojan θα ξεκινήσει έναν τοπικό διακομιστή, για να επιτρέψει σε έναν πελάτη να συνδεθεί και να λειτουργήσει στην εφαρμογή κονσόλας “mysh” .
Σύμφωνα με την εταιρεία ασφαλείας, οι κακόβουλες εφαρμογές απορρίφθηκαν στις μολυσμένες συσκευές μέσω ενός trojan «FakeUpdates» που είναι συνήθως ενσωματωμένο σε στοιχεία του συστήματος, όπως το λογισμικό που είναι υπεύθυνο για ενημερώσεις υλικολογισμικού, τη γραφική διεπαφή του συστήματος ή την εφαρμογή προεπιλεγμένων ρυθμίσεων.
