Se ha descubierto un nuevo malware que ataca a WhatsApp y, lo más curioso, es que este troyano llega instalado en modelos de dispositivos Android baratos y que son versiones falsificadas asociadas a marcas de smartphones populares. Hay, al menos, cuatro modelos de teléfonos que copian reconocidas marcas y que albergan múltiples troyanos diseñados para atacar las aplicaciones de mensajería WhatsApp y WhatsApp Business.
El malware se ha encontrado en al menos cuatro smartphones diferentes: P48pro, radmi note 8, Note30u y Mate40 y afecta a dos archivos, que son «/system/lib/libcutils.so» y «/system/lib/libmtd.so». Estos se modifican de tal manera que cuando la librería del sistema libcutils.so es utilizada por cualquier app, se desencadena la ejecución de un troyano incorporado en libmtd.so.
Si las apps que utilizan las librerías son WhatsApp y WhatsApp Business, libmtd.so procede a lanzar un tercer backdoor cuya principal responsabilidad es descargar e instalar plugins adicionales desde un servidor remoto en los dispositivos comprometidos, según Doctor Web, la empresa de seguridad que ha descubierto este problema.
Android 12 Preview – Cómo instalar paso a paso
Qué consiguen estos troyanos
Este troyano obtiene acceso a los archivos de las apps atacadas y pueden leer chats, enviar spam, interceptar y escuchar llamadas telefónicas y ejecutar otras acciones maliciosas, dependiendo de la funcionalidad de los módulos descargados.
La aplicación falsa, por su parte, está diseñada para filtrar metadatos detallados sobre el dispositivo infectado, así como para descargar e instalar otro software sin el conocimiento de los usuarios a través de scripts.
«El peligro de las puertas traseras descubiertas y de los módulos que descargan es que operan de tal manera que realmente se convierten en parte de las aplicaciones objetivo», dicen desde la empresa de seguridad. El origen más probable de las aplicaciones maliciosas descubiertas en la partición del sistema de los dispositivos atacados podría ser un miembro de la familia de troyanos Android.FakeUpdates, que se conoce desde hace muchos años.
Los actores maliciosos los incrustan en varios componentes del sistema, como el software de actualización del firmware, la aplicación de configuración por defecto o el componente responsable de la interfaz gráfica del sistema.
Temas
- Actualidad
- Seguridad
Fuente info
Autor: