Porast broja Android telefona zaraženih malverom razotkrio je koordinisanu operaciju u kojoj napadači ugrađuju špijunski softver direktno u softver novih uređaja. Cilj je da se presretnu transakcije kriptovaluta preko modifikovane verzije WhatsApp-a.
Telefoni o kojima je riječ u većini slučajeva su bili telefoni niže klase, i imali su imena poznatih brendova, poput „S23 Ultra“, „Note 13 Pro“ i „P70 Ultra“. Ali zapravo, oni pokreću stariji softver (svi istu verziju Androida – Android 12) uprkos tvrdnji da imaju najnoviju verziju Androida, a na njima se nalazi i malver.
Zaraženi uređaji se isporučuju sa unaprijed instaliranim, modifikovanim verzijama WhatsApp-a koje rade kao kliperi (clippers), programi dizajnirani da zamijene kopirane adrese novčanika za kriptovalute adresom napadača. Ovaj lažni WhatsApp tiho zamjenjuje adrese novčanika za popularnu kriptovalutu kao što je Ethereum ili Tron kad god ih korisnici pošalju ili prime preko WhatsApp-a.
Žrtve ne primjećuju šta se dešava. Malver prikazuje tačnu adresu novčanika na ekranu pošiljaoca, ali dostavlja pogrešnu adresu primaocu i obrnuto. Sve izgleda normalno dok novac ne nestane.
Napadači se nisu zaustavili na jednoj aplikaciji. Prema izvještaju Dr Web-a, istraživači su pronašli skoro 40 lažnih aplikacija, uključujući Telegram, kripto novčanike poput Trust Wallet i MathWallet, čitače QR kodova i druge. Tehnika iza infekcije oslanja se na alat pod nazivom LSPatch, koji omogućava modifikacije bez promjene osnovnog koda aplikacije. Ovaj metod ne samo da izbjegava otkrivanje, nego dodatno omogućava zlonamjernom kodu da „preživi“ ažuriranja.
Istraživači vjeruju da je do infekcije došlo u fazi proizvodnje, što znači da su ovi telefoni bili kompromitovani prije nego što su stigli u prodavnice. Mnogi uređaji potiču od manjih kineskih brendova, a trećina modela su modeli proizvedeni pod brendom „SHOWJI“.
Malver ne mijenja samo adrese novčanika – on kopa po folderima sa slikama ciljanih uređaja kao što su DCIM, Downloads i Screenshots, tražeći slike fraza za oporavak. Mnogi ljudi prave skrinšotove jer im je to praktično, ali te fraze su glavni ključevi njihovih kripto novčanika. Ako ih se napadači dočepaju, mogu da isprazne novčanik za nekoliko minuta.
Ažuriranja WhatsApp-a ne dolaze sa zvaničnih servera, već sa domena koje kontrolišu hakeri, što omogućava da špijunski softver ostane funkcionalan i ažuriran.
Doctor Web je do sada identifikovao više od 60 servera i 30 domena korišćenih u kampanji. Neki novčanici napadača koji su povezani sa operacijom već su primili više od milion dolara, dok drugi imaju šestocifrena stanja. A pošto se mnoge adrese generišu dinamički, koliko su tačno zaradili napadači ostaje nepoznato.
Stručnjaci za sajber bezbjednost u Dr Web-u upozorili su korisnike da budu oprezni. Oni savjetuju izbjegavanje kupovine Android telefona neprovjerenih proizvođača, posebno ako je cijena nerealno mala. Stručnjaci takođe savjetuju da ne čuvate fraze za oporavak, lozinke ili privatne ključeve kao slike ili nešifrovane tekstualne fajlove, koji mogu biti lake mete za špijunski softver. Instaliranje pouzdanog bezbjednosnog softvera može pomoći u otkrivanju dubljih prijetnji na nivou sistema. A kada je u pitanju preuzimanje aplikacija, najbezbjednije je držati se zvaničnih izvora kao što je Google Play.
Iako je kampanja trenutno usmjerena na korisnike koji govore ruski, predinstalirani malveri na jeftinim Android uređajima nisu nikakva novost i već su korišćeni za na napade na korisnike širom svijeta. Zato, bez obzira na to gdje se nalazite, budite oprezni, piše Informacija.
Najnovije vijesti Srpskainfo i na Viberu