گوشی هوشمند ارزان قیمت نخرید، واتس اپ تان هک می شود!

مدل‌های ارزان قیمت دستگاه‌های اندرویدی که نسخه‌های تقلبی مرتبط با برندهای محبوب گوشی‌های هوشمند هستند، دارای چندین تروجان هستند که برای هک کردن  برنامه‌های پیام‌رسان ،,واتس اپ و WhatsApp Business طراحی شده‌اند.

به گزارش تک ناک، بدافزاری که دکتر وب برای اولین بار در جولای 2022 با آن مواجه شد، در پارتیشن سیستم حداقل چهار گوشی هوشمند مختلف به نام های P48pro، radmi note 8، Note30u و Mate40 کشف شد.
این شرکت امنیت سایبری در گزارشی که امروز منتشر شد گفت: «این حوادث با این واقعیت که دستگاه‌های مورد حمله کپی‌برداری از مدل‌های معروف برند بودند، پشتیبانی می شود».

علاوه بر این، به‌جای اینکه یکی از آخرین نسخه‌های سیستم‌عامل با اطلاعات مربوطه در جزئیات دستگاه نمایش داده شود (مثلاً اندروید 10)، نسخه 4.4.2 که مدت‌ها منسوخ شده بود روی این گوشی ها نصب شده بود»

به طور خاص، دستکاری مربوط به دو فایل “/system/lib/libcutils.so” و “/system/lib/libmtd.so” است که به گونه ای اصلاح شده اند که وقتی کتابخانه سیستم libcutils.so مورد استفاده قرار می گیرد، اجرای یک تروجان موجود در libmtd.so را آغاز می کند.اگر برنامه‌هایی که از کتابخانه‌ها استفاده می‌کنند WhatsApp و WhatsApp Business باشند libmtd.so اقدام به راه‌اندازی درب پشتی سومی می‌کند که مسئولیت اصلی آن دانلود و نصب افزونه‌های اضافی از یک سرور راه دور بر روی دستگاه‌هایی است که واتس اپ  هک شده است.
محققان می‌گویند: «خطر درب‌های پشتی کشف‌شده و ماژول‌هایی که دانلود می‌کنند این است که به‌گونه‌ای عمل می‌کنند که در واقع بخشی از برنامه‌ها هدف قرار می‌گیرند».در نتیجه، آنها به فایل‌های برنامه‌های مورد حمله دسترسی پیدا می‌کنند و بسته به عملکرد ماژول‌های دانلود شده، می‌توانند چت‌ها را بخوانند، هرزنامه ارسال کنند، تماس‌های تلفنی را شنود کنند و به آن‌ها گوش دهند، و سایر اقدامات مخرب را انجام دهند.»

از سوی دیگر، اگر برنامه ای که از کتابخانه ها استفاده می کند wpa_supplicant باشد یک شبح سیستمی که برای مدیریت اتصالات شبکه استفاده می شود برای راه اندازی یک سرور محلی پیکربندی شده است که امکان اتصال از یک کلاینت راه دور یا محلی را از طریق کنسول “mysh” فراهم می کند.

دکتر وب این نظریه را مطرح کرد که ایمپلنت های پارتیشن سیستم می توانند از طریق یک تروجان FakeUpdates (معروف به SocGholish) ،با یک درب پشتی تعبیه شده در سیستم برنامه مسئول به روز رسانی سیستم عامل (OTA) نصب شده باشند و  باعث هک واتس اپ شوند.

این برنامه سرکش،، برای استخراج فراداده های دقیق در مورد دستگاه آلوده و همچنین دانلود و نصب نرم افزارهای دیگر بدون اطلاع کاربراز طریق اسکریپت های Lua طراحی شده است.
برای جلوگیری از خطر قربانی شدن چنین حملات بدافزاری، توصیه می‌شود که کاربران دستگاه‌های تلفن همراه را فقط از فروشگاه‌های رسمی و توزیع‌کنندگان معتبر خریداری کنند.