Recientemente un grupo de investigadores descubrieron modelos de dispositivos Android económicos que no son más que versiones falsas asociadas a populares marcas de teléfonos inteligentes alojan múltiples troyanos diseñados para atacar las aplicaciones de mensajería WhatsApp y WhatsApp Business.
Debido a ello los atacantes pueden leer mensajes de WhatsApp, enviar spam e interceptar y escuchar llamadas telefónicas.
El mes pasado Doctor Web (la suite de antivirus ruso), se encontró dicho malware y descubrieron que afectó al menos cuatro smartphones diferentes: P48pro, radmi note 8, Note30u y Mate40.
"Estos incidentes están unidos por el hecho de que los dispositivos atacados eran imitaciones de modelos de marcas famosas", dijo la firma de ciberseguridad en un informe publicado hoy.
"Además, en lugar de tener instalada en ellos una de las últimas versiones del sistema operativo con la información correspondiente que aparece en los detalles del dispositivo (por ejemplo, Android 10), tenían la versión 4.4.2, que hace tiempo que está desfasada".
En concreto, la manipulación afecta a dos archivos "/system/lib/libcutils.so" y "/system/lib/libmtd.so" que se modifican de tal manera que cuando la librería del sistema libcutils.so es utilizada por cualquier app, se desencadena la ejecución de un troyano incorporado en libmtd.so.
Si las apps que utilizan las librerías son WhatsApp y WhatsApp Business, libmtd.so procede a lanzar un tercer backdoor cuya principal responsabilidad es descargar e instalar plugins adicionales desde un servidor remoto en los dispositivos comprometidos.
"El peligro de las puertas traseras descubiertas y de los módulos que descargan es que operan de tal manera que realmente se convierten en parte de las apps objetivo", dijeron los investigadores.
"Como resultado, obtienen acceso a los archivos de las apps atacadas y pueden leer chats, enviar spam, interceptar y escuchar llamadas telefónicas y ejecutar otras acciones maliciosas, dependiendo de la funcionalidad de los módulos descargados".
Por otro lado, si la app que utiliza las librerías resulta ser wpa_supplicant (un demonio del sistema que se utiliza para gestionar las conexiones de red) libmtd.so está configurado para iniciar un servidor local que permite las conexiones de un cliente remoto o local a través de la consola "mysh".
El Doctor Web teorizó que los implantes de la partición del sistema podrían formar parte de la familia de malware FakeUpdates (también conocido como SocGholish), basándose en el descubrimiento de otro troyano incrustado en la aplicación del sistema responsable de las actualizaciones de firmware.
Esta aplicación falsa está diseñada para filtrar metadatos detallados sobre el dispositivo infectado, así como para descargar e instalar otro software sin el conocimiento de los usuarios a través de scripts Lua.
Para evitar el riesgo de ser víctima de este tipo de ataques de malware, recomiendan que los usuarios compren los dispositivos móviles sólo en tiendas oficiales y distribuidores legítimos.