Кажется, покупать недорогой смартфон стало опаснее, чем мы думали. «Доктор Веб» обнаружил новую мошенническую схему: злоумышленники встраивают вредоносный софт прямо в прошивку телефонов с Android — и всё это на уровне поставок от некоторых китайских производителей.
Главная цель — украсть криптовалюту. Причём делают это изощрённо: вредоносное приложение маскируется под обычный WhatsApp (да, тот самый, что принадлежит Meta, признанной экстремистской организацией в РФ). Но на деле это вовсе не безобидный мессенджер.
Как работает схема
Троян, встроенный в фейковый WhatsApp, использует фреймворк LSPatch. Это позволяет ему вмешиваться в работу приложения без необходимости править его код напрямую. Что умеет троян?<ul><li>Меняет адрес обновления WhatsApp — чтобы всегда тянуть «свою» версию приложения с сервера злоумышленников.</li>
</ul><ul><li>Следит за буфером обмена — и подменяет криптокошельки на адреса мошенников. Вы думаете, отправляете свои деньги другу? А на самом деле — в чью-то тень-копилку.</li>
</ul><ul><li>Подставляет адреса криптокошельков и в чатах — причём делает это незаметно. У вас отображается правильный адрес, а собеседнику — поддельный. И наоборот.</li>
</ul><ul><li>Собирает личные данные и фотографии — особенно интересуют скриншоты с мнемоническими фразами для восстановления доступа к криптокошельку. Да-да, те самые 12–24 слова, которые нельзя терять.</li>
</ul>Телефоны, которые попались
Основной «улов» пришёлся на бюджетные смартфоны с подозрительно знакомыми названиями, вроде S23 Ultra, Note 13 Pro и так далее. Почти треть моделей шли под брендом SHOWJI. Вот только по факту внутри — старый Android, поддельные характеристики и встроенный троян.
Некоторые из замеченных моделей:<ul><li>SHOWJI Note 13 Pro</li>
</ul><ul><li>SHOWJI S19 Pro</li>
</ul><ul><li>P70 Ultra</li>
</ul><ul><li>Camon 20</li>
</ul><ul><li>S24 Ultra</li>
</ul><ul><li>и другие</li>
</ul>https://dl3.joxi.net/drive/2025/04/1...a4130c4b62.jpg
Устройства маскируются под известные бренды, а с помощью встроенного приложения даже обманывают такие утилиты, как AIDA64 и CPU-Z — показывают, что там Android 14, крутой процессор и куча памяти. А по факту — Android 12 и фейковые спецификации.
Деньги, домены и масштабы
Исследование показало, что эта кампания масштабная: более 40 заражённых приложений, около 60 C2-серверов и 30 доменов, через которые распространяются трояны. Вредонос внедряют не только в мессенджеры, но и в криптокошельки вроде Trust Wallet и Mathwallet, а также — в сканеры QR-кодов.
Доходы злоумышленников? Один из их кошельков за два года получил свыше миллиона долларов, ещё на одном — около 500 тысяч, а на остальных (а их около 20) — суммы до 100 тысяч.
Что делать:
<ol style="list-style-type: decimal"><li>Не покупайте сомнительные смартфоны с маркетплейсов или малоизвестных брендов, особенно если модель «похожа на флагман», но стоит как чехол от него.
</li>
<li>Проверяйте устройства с помощью утилит вроде DevCheck — она честнее, чем AIDA.
</li>
<li>Не храните сид-фразы в скриншотах. Записывайте их на бумагу и прячьте.
</li>
<li>Ставьте антивирус — не только на десктоп, но и на смартфон.</li>
</ol>
https://www.anti-malware.ru/news/202...4-111332/45791