Фахівці з кібербезпеки компанії “ДокторВеб” розкрили масштабну шкідливу кампанію, спрямовану на викрадення криптовалюти через підроблені бюджетні смартфони. Зловмисники впровадили шкідливий код у попередньо встановлений месенджер WhatsApp, використовуючи метод кліппінгу для перехоплення криптовалютних транзакцій.
Механізм виявлення та поширення шкідливого ПЗ
Кіберзагрозу було виявлено після численних звернень користувачів, які встановили антивірус Dr.Web Security Space на нові Android-пристрої. Під час сканування системного розділу прошивки було знайдено підозрілий додаток, замаскований під WhatsApp. Зловмисники змогли втрутитися в ланцюжок поставок китайських виробників смартфонів, що дозволило їм поширювати інфіковані пристрої на масовому ринку.
Характеристики скомпрометованих пристроїв
Заражені смартфони належать до бюджетного сегменту та імітують популярні бренди, використовуючи назви на кшталт S23 Ultra, Note 13 Pro та P70 Ultra. Приблизно третина інфікованих моделей випускається під брендом SHOWJI. Пристрої містять спеціалізоване програмне забезпечення для фальсифікації технічних характеристик як у системному меню, так і в діагностичних додатках.
Технічні особливості трояна Shibai
Виявлений троян, названий Shibai, використовує фреймворк LSPatch для модифікації WhatsApp та виконує наступні шкідливі функції:
- Автоматична підміна адрес криптовалютних гаманців у повідомленнях
- Блокування легітимних оновлень месенджера
- Збір конфіденційних даних та пошук seed-фраз у зображеннях
- Несанкціонована передача всіх повідомлень на сервери зловмисників
Масштаби кібератаки та фінансові втрати
Дослідники ідентифікували понад 60 командних серверів та близько 30 доменів, задіяних у поширенні шкідливого ПЗ. Загальні фінансові збитки оцінюються в мільйони доларів – лише на двох відстежуваних криптогаманцях виявлено транзакції на суму понад 1,5 мільйона доларів США.
Для захисту від подібних кібератак експерти з безпеки наполегливо рекомендують: встановлювати надійне антивірусне програмне забезпечення, купувати смартфони виключно у авторизованих продавців, ретельно перевіряти автентичність пристроїв перед придбанням та уникати зберігання конфіденційної інформації у незахищеному вигляді. Особливу увагу слід приділяти відповідності заявлених характеристик смартфона його реальним можливостям та використовувати лише перевірені джерела для завантаження додатків.
