Бюджетные Android-смартфоны с трояном в WhatsApp воруют криптовалюту

Бюджетные Android-смартфоны с трояном в WhatsApp воруют криптовалюту

Бюджетные Android-смартфоны с трояном в WhatsApp воруют криптовалюту

Кажется, покупать недорогой смартфон стало опаснее, чем мы думали. «Доктор Веб» обнаружил новую мошенническую схему: злоумышленники встраивают вредоносный софт прямо в прошивку телефонов с Android — и всё это на уровне поставок от некоторых китайских производителей.

Главная цель — украсть криптовалюту. Причём делают это изощрённо: вредоносное приложение маскируется под обычный WhatsApp (да, тот самый, что принадлежит Meta, признанной экстремистской организацией в РФ). Но на деле это вовсе не безобидный мессенджер.

Как работает схема

Троян, встроенный в фейковый WhatsApp, использует фреймворк LSPatch. Это позволяет ему вмешиваться в работу приложения без необходимости править его код напрямую. Что умеет троян?

  • Меняет адрес обновления WhatsApp — чтобы всегда тянуть «свою» версию приложения с сервера злоумышленников.
  • Следит за буфером обмена — и подменяет криптокошельки на адреса мошенников. Вы думаете, отправляете свои деньги другу? А на самом деле — в чью-то тень-копилку.
  • Подставляет адреса криптокошельков и в чатах — причём делает это незаметно. У вас отображается правильный адрес, а собеседнику — поддельный. И наоборот.
  • Собирает личные данные и фотографии — особенно интересуют скриншоты с мнемоническими фразами для восстановления доступа к криптокошельку. Да-да, те самые 12–24 слова, которые нельзя терять.

Телефоны, которые попались

Основной «улов» пришёлся на бюджетные смартфоны с подозрительно знакомыми названиями, вроде S23 Ultra, Note 13 Pro и так далее. Почти треть моделей шли под брендом SHOWJI. Вот только по факту внутри — старый Android, поддельные характеристики и встроенный троян.

Некоторые из замеченных моделей:

  • SHOWJI Note 13 Pro
  • SHOWJI S19 Pro
  • P70 Ultra
  • Camon 20
  • S24 Ultra
  • и другие

 

 

 

Устройства маскируются под известные бренды, а с помощью встроенного приложения даже обманывают такие утилиты, как AIDA64 и CPU-Z — показывают, что там Android 14, крутой процессор и куча памяти. А по факту — Android 12 и фейковые спецификации.

Деньги, домены и масштабы

Исследование показало, что эта кампания масштабная: более 40 заражённых приложений, около 60 C2-серверов и 30 доменов, через которые распространяются трояны. Вредонос внедряют не только в мессенджеры, но и в криптокошельки вроде Trust Wallet и Mathwallet, а также — в сканеры QR-кодов.

Доходы злоумышленников? Один из их кошельков за два года получил свыше миллиона долларов, ещё на одном — около 500 тысяч, а на остальных (а их около 20) — суммы до 100 тысяч.

Что делать:

  1. Не покупайте сомнительные смартфоны с маркетплейсов или малоизвестных брендов, особенно если модель «похожа на флагман», но стоит как чехол от него.
  2. Проверяйте устройства с помощью утилит вроде DevCheck — она честнее, чем AIDA.
  3. Не храните сид-фразы в скриншотах. Записывайте их на бумагу и прячьте.
  4. Ставьте антивирус — не только на десктоп, но и на смартфон.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Security Vision обновила Vulnerability Scanner: новые проверки и аналитика

Security Vision представила обновление своего продукта Vulnerability Scanner. В новой версии улучшена интеграция с регуляторами, расширен список источников угроз, добавлены новые проверки и доработана аналитика.

Взаимодействие с регуляторами

Теперь в систему автоматически загружаются бюллетени НКЦКИ, которые дополняют карточки уязвимостей. Также реализован расчёт уровня критичности уязвимостей по методологии ФСТЭК и добавлены рекомендации по обновлениям Windows, прошедшим тестирование регулятора.

База знаний и актуальные угрозы

В базу включены данные из каталога активно эксплуатируемых уязвимостей CISA KEV и система прогнозирования EPSS. Это позволяет учитывать вероятность реальной эксплуатации и актуальные риски.

Сетевое оборудование

Появились дополнительные возможности аудита устройств от крупных производителей — Cisco, Huawei, Juniper, Check Point, Fortinet и других. Информация о найденных уязвимостях и способах их устранения теперь доступна через SSH и SNMP.

CVSS 4.0

Добавлена поддержка новой версии метрики CVSS 4.0 для более точной оценки критичности уязвимостей.

Исключения и управление сканированием

Теперь можно исключать из результатов отдельные уязвимости или продукты — как для конкретного хоста, так и для всех сразу. Появилась возможность не только планировать сканирования, но и приостанавливать или останавливать их.

BlackBox и веб-приложения

Расширены проверки для веб-приложений, а также появился отдельный режим Bruteforce для подбора паролей. Он поддерживает протоколы удалённого управления (RDP, Radmin, NetBIOS) и базы данных (Sybase, PostgreSQL).

Устаревшие системы

Обновлён сбор данных о ПО на старых системах, таких как CentOS 6 и Windows Server 2008R2/2012R2.

Аналитика и отчётность

Добавлены дифференциальные отчёты, позволяющие сравнивать результаты сканирований во времени, и журнал изменений по каждому активу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru