Специалисты компании «ДокторВеб» выявили масштабную вредоносную кампанию, нацеленную на кражу криптовалюты через поддельные бюджетные смартфоны. Злоумышленники внедряют вредоносный код в предустановленный мессенджер WhatsApp, используя метод клиппинга для перехвата криптовалютных транзакций.
Механизм атаки и распространение вредоносного ПО
Вредоносная кампания была обнаружена после обращений пользователей, установивших антивирус Dr.Web Security Space на новые Android-устройства. При сканировании системного раздела прошивки обнаруживалось подозрительное приложение, замаскированное под WhatsApp. Злоумышленники получили доступ к цепочке поставок китайских производителей смартфонов, что позволило им распространять зараженные устройства.
Особенности скомпрометированных устройств
Affected devices primarily belong to the budget segment and mimic popular brands with names like S23 Ultra, Note 13 Pro, and P70 Ultra. Треть зараженных моделей выпускается под брендом SHOWJI. Устройства содержат специальное приложение, позволяющее подделывать технические характеристики как в системном меню, так и в специализированных приложениях для диагностики.
Функционал вредоносного кода
Троян, получивший название Shibai, использует фреймворк LSPatch для модификации WhatsApp. Вредоносный код выполняет следующие функции:
- Перехват и подмена адресов криптовалютных кошельков в сообщениях
- Блокировка легитимных обновлений приложения
- Сбор личных данных и поиск seed-фраз в изображениях
- Отправка всех сообщений на серверы злоумышленников
Масштабы и последствия атаки
Исследователи обнаружили более 60 управляющих серверов и около 30 доменов, используемых для распространения вредоносного ПО. Финансовый ущерб оценивается в миллионы долларов — только на двух отслеживаемых кошельках обнаружено более 1,5 млн долларов США.
Для защиты от подобных атак эксперты рекомендуют устанавливать антивирусное ПО, приобретать устройства только у официальных продавцов, использовать проверенные источники для загрузки приложений и не хранить конфиденциальную информацию в незащищенном виде. Особое внимание следует уделять проверке подлинности устройства перед покупкой и соответствию заявленных характеристик реальным возможностям смартфона.
