Doctor Web riferisce nel suo blog di aver scoperto una backdoor nella partizione di sistema di modelli di dispositivi Android economici che in realtà sono versioni contraffatte di famosi modelli di marca.
La scoperta nasce a Luglio, quando diversi utenti hanno contattato il laboratorio antivirus di Doctor Web lamentando attività sospette sui propri smartphone Android.
“Questi incidenti sono accomunati dal fatto che i dispositivi attaccati erano imitazioni di famosi modelli di marca. Inoltre, invece di avere una delle ultime versioni del sistema operativo installata su di loro con le informazioni corrispondenti visualizzate nei dettagli del dispositivo (ad esempio, Android 10), avevano la versione 4.4.2 obsoleta da tempo“. Si legge nel rapporto.
Sarebbero almeno 4 i modelli smartphone interessati: P48pro, Radmi note 8, Note30u, Mate40.
Analisi e rilevazioni
Secondo la ricostruzione, le funzioni di monitoraggio di Dr.Web Anti-Virus avrebbe rilevato sui modelli di smartphone esaminati le modifiche nei seguenti oggetti:
- /system/lib/libcutils.so. Una libreria di sistema modificata in modo tale che quando viene utilizzata da una qualsiasi applicazione, viene lanciato un trojan attraverso la libreria libmtd.so;
- /system/lib/libmtd.so. Le azioni di tale libreria si occupano di controllare quale app ha effettivamente portato all’esecuzione della backdoor attraverso la libreria libcutils.so. Se le app in questione sono i messenger WhatsApp/WhatsApp Business o quelle di sistema “Impostazioni” e “Telefono”, il trojan procede alla seconda fase dell’infezione, installando e avviando un’altra backdoor (Android.Backdoor.854.origin) nella directory dell’app appropriata, la cui funzionalità principale è il download e l’installazione di moduli dannosi aggiuntivi.
Le funzioni della backdoor di seconda fase
Per scaricare i moduli, Android.Backdoor.854.origin si connette a uno dei numerosi server C2, per ricevere un elenco di plugin che il trojan scaricherà, decrittograferà ed eseguirà. Il pericolo delle backdoor scoperte e dei relativi moduli scaricati è che, diventando parte dell’app stessa, possono essere potenzialmente utilizzati in diversi scenari di attacco, tra cui l’intercettazione di chat, il furto di informazioni riservate, campagne di spam e vari schemi di truffa.
Consigli
I ricercatori Doctor Web ritengono che gli impianti di partizione di sistema scoperti possano essere collegati ai malware FakeUpdates o SocGholish una famiglia di codici malevoli che possono esfiltrare metadati estesi sul dispositivo di destinazione e scaricare, installare altro software tramite script Lua.
Per evitare il rischio di cadere vittima di questi tipi di infezioni è sempre consigliabile acquistare qualsiasi tipo di dispositivo in negozi e distributori ufficiali.
“È importante anche l’utilizzo di un antivirus e l’installazione di tutti gli aggiornamenti del sistema operativo disponibili“. Raccomanda Doctor Web.
