Smartphone Android murah yang diproduksi oleh perusahaan Cina telah diamati sebelumnya dengan aplikasi trojanisasi yang menyamar sebagai WhatsApp dan Telegram yang berisi fungsionalitas cryptocurrency clipper sebagai bagian dari kampanye sejak Juni 2024.
Saat menggunakan aplikasi malware-laced untuk mencuri informasi keuangan bukanlah fenomena baru, temuan baru dari vendor vendor antivirus Rusia menunjuk Web ke eskalasi yang signifikan di mana aktor ancaman yang secara langsung menargetkan rantai pasokan berbagai produsen Cina untuk memuat perangkat baru dengan aplikasi jahat.
“Aplikasi penipuan terdeteksi langsung di perangkat lunak yang telah dipasang sebelumnya di telepon,” kata perusahaan itu. “Dalam hal ini, kode jahat ditambahkan ke whatsapp messenger.”
Mayoritas perangkat yang dikompromikan dikatakan sebagai telepon kelas bawah yang meniru model premium terkenal dari Samsung dan Huawei dengan nama-nama seperti S23 Ultra, S24 Ultra, Note 13 Pro, dan P70 Ultra. Setidaknya empat model yang terpengaruh diproduksi di bawah Showji merek.
Para penyerang dikatakan telah menggunakan aplikasi untuk memalsukan spesifikasi teknis yang ditampilkan pada halaman Tentang Perangkat, serta utilitas informasi perangkat keras dan perangkat lunak seperti AIDA64 dan CPU-Z, memberi pengguna kesan palsu bahwa ponsel menjalankan Android 14 dan telah meningkatkan perangkat keras.
Aplikasi Android berbahaya dibuat menggunakan proyek open-source yang disebut LSPATCH yang memungkinkan Trojan, yang dijuluki Shibai, disuntikkan ke dalam perangkat lunak yang sah. Secara total, sekitar 40 aplikasi yang berbeda, seperti messengers dan pemindai kode QR, diperkirakan telah dimodifikasi dengan cara ini.
Dalam artefak yang dianalisis oleh Doctor Web, aplikasi tersebut membajak proses pembaruan aplikasi untuk mengambil file APK dari server di bawah kendali penyerang dan mencari string dalam percakapan obrolan yang cocok dengan pola alamat dompet cryptocurrency cryptocurrency yang terkait dengan Ethereum atau Tron. Jika ditemukan, mereka digantikan dengan alamat musuh untuk rute transaksi.
“Dalam hal pesan keluar, perangkat yang dikompromikan menampilkan alamat yang benar dari dompet korban sendiri, sementara penerima pesan ditunjukkan alamat dompet penipu,” kata Dokter Web.
“Dan ketika pesan yang masuk diterima, pengirim melihat alamat dompet mereka sendiri; sementara itu, di perangkat korban, alamat yang masuk diganti dengan alamat dompet peretas.”
Selain mengubah alamat dompet, malware juga dilengkapi dengan kemampuan untuk memanen informasi perangkat, semua pesan WhatsApp, dan .jpg, .png, dan .jpeg gambar dari DCIM, gambar, alarm, unduhan, dokumen, dan folder tangkapan layar ke server penyerang.
Tujuan di balik langkah ini adalah untuk memindai gambar yang disimpan untuk frasa pemulihan dompet (alias mnemonic), yang memungkinkan aktor ancaman untuk mendapatkan akses yang tidak sah ke dompet korban dan menguras aset.
Tidak jelas siapa yang berada di belakang kampanye, meskipun para penyerang telah ditemukan memanfaatkan sekitar 30 domain untuk mendistribusikan aplikasi jahat dan mempekerjakan lebih dari 60 server perintah-dan-kontrol (C2) untuk mengelola operasi.
Analisis lebih lanjut dari hampir dua lusin dompet cryptocurrency yang digunakan oleh para aktor ancaman telah mengungkapkan bahwa mereka telah menerima lebih dari $ 1,6 juta selama dua tahun terakhir, menunjukkan bahwa kompromi rantai pasokan telah terbayar secara besar -besaran.
Pengembangan ini terjadi ketika perusahaan cybersecurity Swiss ProPaft mengungkap keluarga malware Android baru yang dijuluki gorila yang dirancang untuk mengumpulkan informasi sensitif (misalnya, model perangkat, nomor telepon, versi Android, detail kartu SIM, dan aplikasi yang diinstal), akses utama yang persisten ke perangkat yang terinfeksi, dan menerima perintah dari server jarak jauh.
“Ditulis dalam Kotlin, ini terutama berfokus pada intersepsi SMS dan komunikasi persisten dengan server perintah-dan-kontrol (C2),” kata perusahaan itu dalam sebuah analisis. “Tidak seperti banyak strain malware canggih, Gorilla belum menggunakan teknik kebingungan, menunjukkan bahwa itu mungkin masih dalam pengembangan aktif.”
Dalam beberapa bulan terakhir, aplikasi Android yang menyematkan FakeApp Trojan yang diperbanyak melalui Google Play Store juga telah ditemukan memanfaatkan server DNS untuk mengambil konfigurasi yang berisi URL yang akan dimuat.
Aplikasi ini, sejak dihapus dari pasar, menyamar sebagai game dan aplikasi terkenal dan populer dan dilengkapi dengan kemampuan untuk menerima perintah eksternal yang dapat melakukan berbagai tindakan jahat seperti memuat situs web yang tidak diinginkan atau melayani jendela phishing.
