Бюджетные Android-смартфоны с трояном в WhatsApp воруют криптовалюту

Бюджетные Android-смартфоны с трояном в WhatsApp воруют криптовалюту

Бюджетные Android-смартфоны с трояном в WhatsApp воруют криптовалюту

Кажется, покупать недорогой смартфон стало опаснее, чем мы думали. «Доктор Веб» обнаружил новую мошенническую схему: злоумышленники встраивают вредоносный софт прямо в прошивку телефонов с Android — и всё это на уровне поставок от некоторых китайских производителей.

Главная цель — украсть криптовалюту. Причём делают это изощрённо: вредоносное приложение маскируется под обычный WhatsApp (да, тот самый, что принадлежит Meta, признанной экстремистской организацией в РФ). Но на деле это вовсе не безобидный мессенджер.

Как работает схема

Троян, встроенный в фейковый WhatsApp, использует фреймворк LSPatch. Это позволяет ему вмешиваться в работу приложения без необходимости править его код напрямую. Что умеет троян?

  • Меняет адрес обновления WhatsApp — чтобы всегда тянуть «свою» версию приложения с сервера злоумышленников.
  • Следит за буфером обмена — и подменяет криптокошельки на адреса мошенников. Вы думаете, отправляете свои деньги другу? А на самом деле — в чью-то тень-копилку.
  • Подставляет адреса криптокошельков и в чатах — причём делает это незаметно. У вас отображается правильный адрес, а собеседнику — поддельный. И наоборот.
  • Собирает личные данные и фотографии — особенно интересуют скриншоты с мнемоническими фразами для восстановления доступа к криптокошельку. Да-да, те самые 12–24 слова, которые нельзя терять.

Телефоны, которые попались

Основной «улов» пришёлся на бюджетные смартфоны с подозрительно знакомыми названиями, вроде S23 Ultra, Note 13 Pro и так далее. Почти треть моделей шли под брендом SHOWJI. Вот только по факту внутри — старый Android, поддельные характеристики и встроенный троян.

Некоторые из замеченных моделей:

  • SHOWJI Note 13 Pro
  • SHOWJI S19 Pro
  • P70 Ultra
  • Camon 20
  • S24 Ultra
  • и другие

 

 

 

Устройства маскируются под известные бренды, а с помощью встроенного приложения даже обманывают такие утилиты, как AIDA64 и CPU-Z — показывают, что там Android 14, крутой процессор и куча памяти. А по факту — Android 12 и фейковые спецификации.

Деньги, домены и масштабы

Исследование показало, что эта кампания масштабная: более 40 заражённых приложений, около 60 C2-серверов и 30 доменов, через которые распространяются трояны. Вредонос внедряют не только в мессенджеры, но и в криптокошельки вроде Trust Wallet и Mathwallet, а также — в сканеры QR-кодов.

Доходы злоумышленников? Один из их кошельков за два года получил свыше миллиона долларов, ещё на одном — около 500 тысяч, а на остальных (а их около 20) — суммы до 100 тысяч.

Что делать:

  1. Не покупайте сомнительные смартфоны с маркетплейсов или малоизвестных брендов, особенно если модель «похожа на флагман», но стоит как чехол от него.
  2. Проверяйте устройства с помощью утилит вроде DevCheck — она честнее, чем AIDA.
  3. Не храните сид-фразы в скриншотах. Записывайте их на бумагу и прячьте.
  4. Ставьте антивирус — не только на десктоп, но и на смартфон.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Под блокировку Роскомнадзора попали уже 260 VPN

В настоящее время Роскомнадзор блокирует доступ к 258 сервисам VPN, не препятствующим доступу к запрещенному в стране контенту. В сравнении с прошлым годом черный список российского регулятора возрос почти на 31%.

В 2024 году под блок РКН попали 197 VPN. Новые цифры озвучил на проходящем в Сочи форуме Спектр-2025 Владислав Смирнов, возглавляющий исследования перспективных технологий в ГРЧЦ (Главный радиочастотный центр, работает под эгидой РКН).

Со слов спикера корреспондент ТАСС также пишет, что в 2025 году в рунете было заблокировано 252 анонимных имейл-сервиса (+20% в сравнении с 2024-м), 173 приложения (+28%), 410 источников вредоносных программ и 119 тыс. фишинговых сайтов (+441%).

По всей видимости, речь идет о ресурсах, уличенных в нарушении российского законодательства и попавших за это в реестр запрещенных Роскомнадзором.

Блокировка таких правонарушителей осуществляется с помощью технических средств противодействия угрозамТСПУ. Это оборудование устанавливается у интернет-провайдеров, но находится в ведении РКН.

Напомним, с марта прошлого года в России под блок могут попасть не только VPN-сервисы, игнорирующие требования регулятора рунета, но также ресурсы, рекламирующие VPN как средство обхода ограничений, введенных Роскомнадзором.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru