Chuyên gia bảo mật phát hiện điện thoại giả có Backdoor để hack tài khoản WhatsApp

www.tuoitre.vn -   24/08/2022 08:00:00 753

Các mẫu thiết bị Android bình dân là phiên bản nhái được liên kết với các thương hiệu điện thoại thông minh phổ biến đang chứa nhiều trojan được thiết kế để nhắm mục tiêu các ứng dụng nhắn tin WhatsApp và WhatsApp Business.

Chuyên gia bảo mật phát hiện điện thoại giả có Backdoor để hack tài khoản WhatsApp

Phần mềm độc hại mà chuyên gia bảo mật phát hiện lần đầu tiên vào tháng 7 năm 2022, đã được phát hiện trong phân vùng hệ thống của ít nhất bốn điện thoại thông minh khác nhau: P48pro, radmi note 8, Note30u và Mate40.

Chuyên gia an ninh mạng cho biết : “Những sự cố này thống nhất với nhau bởi thực tế là các thiết bị bị tấn công là bản sao của các mẫu thương hiệu nổi tiếng”.

"Hơn nữa, thay vì cài đặt một trong những phiên bản hệ điều hành mới nhất với thông tin tương ứng được hiển thị trong chi tiết thiết bị (ví dụ: Android 10), họ đã có phiên bản 4.4.2 đã lỗi thời từ lâu."

Cụ thể, việc giả mạo liên quan đến hai tệp "/system/lib/libcutils.so" và "/system/lib/libmtd.so" được sửa đổi theo cách mà khi thư viện hệ thống libcutils.so được sử dụng bởi bất kỳ ứng dụng nào, nó kích hoạt việc thực thi một trojan được tích hợp trong libmtd.so.

Nếu các ứng dụng sử dụng thư viện là WhatsApp và WhatsApp Business, libmtd.so sẽ tiến hành khởi chạy cửa sau thứ ba có trách nhiệm chính là tải xuống và cài đặt các plugin bổ sung từ máy chủ từ xa lên các thiết bị bị xâm phạm.

Các nhà nghiên cứu cho biết: “Mối nguy hiểm của các backdoor được phát hiện và các mô-đun mà chúng tải xuống là chúng hoạt động theo cách mà chúng thực sự trở thành một phần của các ứng dụng được nhắm mục tiêu,” các nhà nghiên cứu cho biết.

"Do đó, chúng có quyền truy cập vào các tệp của ứng dụng bị tấn công và có thể đọc các cuộc trò chuyện, gửi spam, chặn và nghe các cuộc gọi điện thoại cũng như thực hiện các hành động độc hại khác, tùy thuộc vào chức năng của các mô-đun đã tải xuống."

Mặt khác, nếu ứng dụng sử dụng các thư viện hóa ra là wpa_supplicant - một daemon hệ thống được sử dụng để quản lý các kết nối mạng - libmtd.so được định cấu hình để khởi động một máy chủ cục bộ cho phép kết nối từ một máy khách từ xa hoặc cục bộ thông qua "mysh "bảng điều khiển.

Các chuyên gia đưa ra giả thuyết rằng việc cấy ghép phân vùng hệ thống có thể đã được triển khai thông qua một trojan, một phần của họ phần mềm độc hại FakeUpdates (hay còn gọi là SocGholish) dựa trên việc phát hiện ra một cửa sau được nhúng vào ứng dụng hệ thống chịu trách nhiệm cập nhật chương trình cơ sở qua mạng (OTA).

Về phần mình, ứng dụng giả mạo được thiết kế để lọc siêu dữ liệu chi tiết về thiết bị bị nhiễm cũng như tải xuống và cài đặt phần mềm khác mà người dùng không biết thông qua tập lệnh Lua.

Để tránh nguy cơ trở thành nạn nhân của các cuộc tấn công phần mềm độc hại như vậy, người dùng chỉ nên mua thiết bị di động từ các cửa hàng chính thức và nhà phân phối hợp pháp.

Hương – Theo TheHackerNews

 

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 142
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 115
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 115
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 101
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 105
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 69
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ