Levné Android smartphony vyráběné čínskými společnostmi byly pozorovány s předinstalovanými trojskými aplikacemi, které se vydávají za WhatsApp a Telegram a obsahují funkci kryptoměnového clipperu v rámci kampaně, která probíhá od června 2024.

I když používání aplikací infikovaných malwarem ke krádeži finančních informací není novým fenoménem, nové poznatky od ruského antivirového dodavatele Doctor Web poukazují na významnou eskalaci, kdy útočníci přímo cílí na dodavatelský řetězec různých čínských výrobců, aby do nových zařízení předem nahráli škodlivé aplikace.

„Podvodné aplikace byly detekovány přímo v softwaru předinstalovaném na telefonu,“ uvedla společnost. „V tomto případě byl škodlivý kód přidán do aplikace WhatsApp messenger.“

Většina kompromitovaných zařízení jsou údajně levné telefony, které napodobují známé prémiové modely od Samsungu a Huawei s názvy jako S23 Ultra, S24 Ultra, Note 13 Pro a P70 Ultra. Nejméně čtyři z postižených modelů jsou vyráběny pod značkou SHOWJI.

Útočníci údajně použili aplikaci k podvržení technických specifikací zobrazených na stránce „O zařízení“ a také informací o hardwaru a softwaru v nástrojích jako AIDA64 a CPU-Z, čímž uživatelům poskytli falešný dojem, že telefony běží na Androidu 14 a mají vylepšený hardware.

Škodlivé Android aplikace jsou vytvořeny pomocí open-source projektu nazvaného LSPatch, který umožňuje injektovat trojský kód, nazvaný Shibai, do jinak legitimního softwaru. Celkem bylo tímto způsobem upraveno přibližně 40 různých aplikací, jako jsou messengery a skenery QR kódů.

V analyzovaných artefaktech od Doctor Web aplikace unáší proces aktualizace aplikací, aby získala APK soubor ze serveru pod kontrolou útočníka, a vyhledává řetězce v chatových konverzacích, které odpovídají vzorům kryptoměnových peněženek spojených s Ethereum nebo Tron. Pokud jsou nalezeny, jsou nahrazeny adresami útočníků, aby přesměrovali transakce.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS