Los teléfonos inteligentes de Android baratos fabricados por compañías chinas se han observado preinstalados con aplicaciones troyanizadas disfrazadas de WhatsApp y Telegram que contienen la funcionalidad de la cortesía de criptomonedas como parte de una campaña desde junio de 2024.
Si bien el uso de aplicaciones con malware para robar información financiera no es un fenómeno nuevo, los nuevos hallazgos del proveedor de antivirus ruso, el médico, el médico web apunta a una escalada significativa donde los actores de amenaza dirigidos directamente a la cadena de suministro de varios fabricantes chinos a precargar los nuevos dispositivos con aplicaciones maliciosas.
«Las aplicaciones fraudulentas se detectaron directamente en el software preinstalado en el teléfono», dijo la compañía. «En este caso, el código malicioso se agregó al Mensajero de WhatsApp».
Se dice que la mayoría de los dispositivos comprometidos son teléfonos de baja gama que imitan modelos premium conocidos de Samsung y Huawei con nombres como S23 Ultra, S24 Ultra, Note 13 Pro y P70 Ultra. Al menos cuatro de los modelos afectados se fabrican bajo el Showji marca.
Se dice que los atacantes han utilizado una aplicación para falsificar la especificación técnica que se muestra en la página del dispositivo Acerca de, así como las utilidades de información de hardware y software como AIDA64 y CPU-Z, lo que le da a los usuarios una falsa impresión de que los teléfonos están ejecutando Android 14 y han mejorado hardware.
Las aplicaciones de Android maliciosas se crean utilizando un proyecto de código abierto llamado Lspatch que permite que el troyano, denominado Shibai, se inyecte en un software legítimo. En total, se estima que alrededor de 40 aplicaciones diferentes, como los mensajeros y los escáneres de código QR, se han modificado de esta manera.
En los artefactos analizados por Doctor Web, la aplicación secuestra el proceso de actualización de la aplicación para recuperar un archivo APK de un servidor bajo el control del atacante y busca cadenas en conversaciones de chat que coincidan con los patrones de dirección de la billetera de criptomonedas asociados con Ethereum o Tron. Si se encuentran, se reemplazan con las direcciones del adversario para redirigir las transacciones.
«En el caso de un mensaje saliente, el dispositivo comprometido muestra la dirección correcta de la billetera de la víctima, mientras que el destinatario del mensaje se muestra en la dirección de la billetera de los estafadores», dijo Doctor Web.
«Y cuando se recibe un mensaje entrante, el remitente ve la dirección de su propia billetera; mientras tanto, en el dispositivo de la víctima, la dirección entrante se reemplaza con la dirección de la billetera de los piratas informáticos».
Además de cambiar las direcciones de la billetera, el malware también está equipado con capacidades para recolectar información del dispositivo, todos los mensajes de WhatsApp y .jpg, .png y .jpeg imágenes de DCIM, imágenes, alarmas, descargas, documentos y carpetas de captura de captura del servidor del atacante.
La intención detrás de este paso es escanear las imágenes almacenadas para frases de recuperación de billeteras (también conocidas como mnemonic), lo que permite a los actores de amenaza obtener acceso no autorizado a las billeteras de las víctimas y drenar los activos.
No está claro quién está detrás de la campaña, aunque se ha descubierto que los atacantes aprovechan unos 30 dominios para distribuir las aplicaciones maliciosas y emplear más de 60 servidores de comando y control (C2) para administrar la operación.
Un análisis posterior de las casi dos docenas de billeteras de criptomonedas utilizadas por los actores de amenaza ha revelado que han recibido más de $ 1.6 millones en los últimos dos años, lo que indica que el compromiso de la cadena de suministro ha valido la pena a lo grande.
El desarrollo se produce cuando la compañía de seguridad cibernética suiza Productaft descubrió una nueva familia de malware Android denominada gorila que está diseñada para recopilar información confidencial (p. Ej., Modelo de dispositivos, números de teléfono, versión de Android, detalles de tarjeta SIM y aplicaciones instaladas), acceso persistente principal a dispositivos infectados y recibir comandos de un servidor remoto.
«Escrito en Kotlin, se centra principalmente en la intercepción de SMS y la comunicación persistente con su servidor de comando y control (C2)», dijo la compañía en un análisis. «A diferencia de muchas cepas avanzadas de malware, Gorilla aún no emplea técnicas de ofuscación, lo que indica que aún puede estar bajo desarrollo activo».
En los últimos meses, las aplicaciones de Android que incorporan los troyanos FakeApp propagados a través de Google Play Store también se han encontrado utilizando un servidor DNS para recuperar una configuración que contiene una URL para cargar.
Estas aplicaciones, desde que se eliminan del mercado, se hacen pasar por juegos y aplicaciones conocidos y populares y vienen equipadas con la capacidad de recibir comandos externos que pueden realizar varias acciones maliciosas como cargar sitios web no deseados o servir ventanas de phishing.