В дешёвых копиях Android-смартфонов нашли троянов-взломщиков WhatsApp

В дешёвых копиях Android-смартфонов нашли троянов-взломщиков WhatsApp

В дешёвых копиях Android-смартфонов нашли троянов-взломщиков WhatsApp

У дешевых копий Android-смартфонов обнаружили бэкдоры. Трояны перехватывают чаты WhatsApp и организуют спам-рассылки. На всех моделях старая операционка. В июле к “Доктор Веб” обратилось несколько пользователей, которые жаловались на подозрительную активность в своих Android-смартфонах.

Антивирус Dr.Web зафиксировал изменение системной области памяти, а также появление вредоносных приложений в системном разделе.

Все случаи объединяет происхождение телефонов — дешевые подделки известных брендов. Вместо одной из актуальных версий операционной системы, информация о которой демонстрируется в сведениях об устройстве (например, Android 10), на них установлена давно устаревшая версия 4.4.2.

Затронутыми оказались как минимум 4 модели смартфонов, названия которых созвучны с моделями мировых производителей.

  • P48pro
  • radmi note 8
  • Note30u
  • Mate40

Антивирус Dr.Web зафиксировал изменения следующих объектов:

· /system/lib/libcutils.so

Системная библиотека сама по себе не представляет опасности. Однако она была модифицирована таким образом, что при ее использовании любой программой происходит запуск трояна из файла libmtd.so. Измененная версия данной библиотеки детектируется антивирусом Dr.Web как Android.BackDoor.3105.

· /system/lib/libmtd.so 

Троянская библиотека libmtd.so получила по классификации компании “Доктор Веб” имя Android.BackDoor.3104. Выполняемые ей действия зависят от того, какое приложение использует библиотеку libcutils.so (то есть какое из них фактически привело к запуску бэкдора через нее). Если это были приложения WhatsApp и WhatsApp Business, а также системные программы “Настройки” и “Телефон”, Android.BackDoor.3104 переходит ко второй стадии заражения. Для этого троян копирует в каталог соответствующего приложения другой бэкдор (добавлен в вирусную базу Dr.Web как Android.Backdoor.854.origin), который затем запускает.

Основная функция этого компонента — загрузка и установка дополнительных вредоносных модулей.

Для загрузки модулей Android.Backdoor.854.origin подключается к одному из нескольких управляющих серверов, передавая в запросе определенный массив технических данных об устройстве. В ответ сервер направляет трояну список плагинов, которые тот загружает, расшифровывает и запускает. Обнаруженные вредоносные программы и скачиваемые ими модули функционируют таким образом, что фактически становятся частью целевых приложений, — в этом и заключается их опасность.

В результате они получают доступ к файлам атакуемых программ и могут читать переписку, осуществлять спам-рассылки, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия — в зависимости от функциональности загружаемых модулей.

Наиболее вероятным источником появления вредоносных приложений в системном разделе атакованных устройств мог выступать представитель известного на протяжении многих лет семейства троянов Android.FakeUpdates.

Злоумышленники встраивают их в различные системные компоненты — программу обновления прошивки, приложение настроек или компонент, отвечающий за графический интерфейс системы. В процессе работы они выполняют разнообразные Lua-скрипты, с помощью которых, в частности, способны загружать и устанавливать другое ПО. Именно такая троянская программа — Android.FakeUpdates.1.origin — была выявлена на одном из целевых смартфонов.

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru