Goedkope Android-smartphones vervaardigd door Chinese bedrijven zijn geobserveerd vooraf geïnstalleerd met Trojanized-apps die zich voordoen als WhatsApp en Telegram die sinds juni 2024 cryptocurrency Clipper-functionaliteit bevatten als onderdeel van een campagne.
Hoewel het gebruik van apps met malware om financiële informatie te stelen geen nieuw fenomeen is, is de nieuwe bevindingen van de Russische antivirus-leverancier Doctor Web Point naar belangrijke escalatie waar dreigingsactoren rechtstreeks richten op de supply chain van verschillende Chinese fabrikanten om gloednieuwe apparaten met kwaadaardige apps voor te laden.
“Frauduleuze applicaties werden rechtstreeks gedetecteerd in de software vooraf geïnstalleerd aan de telefoon,” zei het bedrijf. “In dit geval is de kwaadaardige code toegevoegd aan de WhatsApp -messenger.”
Er wordt gezegd dat een meerderheid van de gecompromitteerde apparaten low-end telefoons zijn die bekende premium-modellen van Samsung en Huawei nabootsen met namen als S23 Ultra, S24 Ultra, Note 13 Pro en P70 Ultra. Ten minste vier van de getroffen modellen worden vervaardigd onder de Showji merk.
Van de aanvallers wordt gezegd dat ze een applicatie hebben gebruikt om de technische specificatie te spoof die wordt weergegeven op de pagina Over apparaat, evenals hardware- en software-informatiehulpprogramma’s zoals AIDA64 en CPU-Z, waardoor gebruikers een valse indruk hebben dat de telefoons Android 14 hebben en verbeterde hardware hebben.
De kwaadaardige Android-apps worden gemaakt met behulp van een open-source project genaamd LSpatch waarmee de Trojan, genaamd Shibai, kan worden geïnjecteerd in anders legitieme software. In totaal worden naar schatting ongeveer 40 verschillende toepassingen, zoals boodschappers en QR -codescanners, op deze manier gewijzigd.
In de artefacten geanalyseerd door Doctor Web, kaapt de applicatie het app -updateproces om een APK -bestand op te halen van een server onder controle van de aanvaller en zoekt naar tekenreeksen in chatgesprekken die overeenkomen met cryptocurrency -portemonnee -adrespatronen die zijn gekoppeld aan Ethereum of Tron. Indien gevonden, worden ze vervangen door de adressen van de tegenstander om transacties om te leiden.
“In het geval van een uitgaande boodschap toont het gecompromitteerde apparaat het juiste adres van de eigen portemonnee van het slachtoffer, terwijl de ontvanger van de boodschap het adres van de portemonnee van de fraudeurs wordt getoond,” zei Doctor Web.
“En wanneer een inkomend bericht wordt ontvangen, ziet de afzender het adres van hun eigen portemonnee; ondertussen op het apparaat van het slachtoffer wordt het inkomende adres vervangen door het adres van de portemonnee van de hackers.”
Naast het wijzigen van de portemonnee -adressen, is de malware ook uitgerust met mogelijkheden om apparaatinformatie te oogsten, alle WhatsApp -berichten en .jpg, .png en .jpeg -afbeeldingen van DCIM, foto’s, alarmen, downloads, documenten en screenshotsmappen naar de Server van de aanvaller.
De bedoeling achter deze stap is het scannen van de opgeslagen afbeeldingen op Wallet Recovery (aka Mnemonic) zinnen, waardoor de dreigingsacteurs ongeautoriseerde toegang tot de portefeuilles van slachtoffers kunnen krijgen en de activa kunnen aftappen.
Het is niet duidelijk wie achter de campagne zit, hoewel de aanvallers zijn gevonden om ongeveer 30 domeinen te benutten om de kwaadaardige applicaties te distribueren en meer dan 60 command-and-control (C2) -servers in dienst te nemen om de operatie te beheren.
Verdere analyse van de bijna twee dozijn cryptocurrency -portefeuilles die door de dreigingsacteurs worden gebruikt, heeft aangetoond dat ze de afgelopen twee jaar meer dan $ 1,6 miljoen hebben ontvangen, wat aangeeft dat het compromis van de supply chain op een grote manier is afgeworpen.
De ontwikkeling komt wanneer Swiss Cybersecurity Company Prodafant een nieuwe Android Malware -familie ontdekte, gorilla genaamd die is ontworpen om gevoelige informatie te verzamelen (bijv. Apparaatmodel, telefoonnummers, Android -versie, simkaartdetails en geïnstalleerde apps), belangrijkste persistente toegang tot geïnfecteerde apparaten en opdrachten ontvangen van een externe server.
“Geschreven in Kotlin, richt het zich vooral op SMS-onderschepping en aanhoudende communicatie met zijn command-and-control (C2) -server,” zei het bedrijf in een analyse. “In tegenstelling tot veel geavanceerde malware -stammen, gebruikt Gorilla nog geen obfuscatietechnieken, wat aangeeft dat het nog steeds onder actieve ontwikkeling kan zijn.”
In de afgelopen maanden zijn Android -apps die de FakeApp Trojan inbedden die via Google Play Store is gepropageerd, ook gevonden om een DNS -server te gebruiken om een configuratie op te halen die een te laden URL bevat.
Deze apps zijn, sindsdien verwijderd van de markt, zich voor de bekende en populaire games en apps en komen ze in dienst met de mogelijkheid om externe opdrachten te ontvangen die verschillende kwaadaardige acties kunnen uitvoeren, zoals het laden van ongewenste websites of het bedienen van phishing-vensters.
