廉价安卓手机预装恶意软件窃取加密货币

据 Doctor Web 的研究人员称，大量携带恶意软件的安卓手机暴露出一项协同行动，攻击者将间谍软件直接嵌入新售出设备的软件中。其目标是通过劫持 WhatsApp 版本来拦截加密货币交易。

廉价手机，后果昂贵

这些手机看起来很眼熟。包括仿冒“S23 Ultra”、“Note 13 Pro”和“P70 Ultra”等机型，以时尚的品牌形象和诱人的规格模仿高端品牌。然而，尽管它们声称搭载的是最新的安卓系统，但其运行的却是老旧软件，并且还带有恶意软件。

受感染的设备预装了WhatsApp 的修改版本，这些App内置剪贴板劫持恶意程序，旨在将复制的加密货币钱包地址替换为攻击者自己的地址。

一旦安装，这个假 WhatsApp 会在用户通过聊天发送或接收加密货币时，悄悄地将钱包字符串替换为攻击者控制的以太坊和波场币等热门货币钱包地址。

更令人担忧的是，受害者从未发现任何可疑之处。恶意软件在发送者的屏幕上显示正确的钱包地址，却将错误的地址发送给接收者，反之亦然。一切看起来都很正常，直到钱消失。

内置恶意App不限于 WhatsApp

攻击者并非止步于一款应用。根据 Dr. Web 的报告，研究人员发现了近 40 款虚假应用，包括 Telegram、Trust Wallet 和 MathWallet 等加密钱包、二维码读取器等。

感染背后的技术依赖于一款名为LSPatch的工具，该工具允许在不更改核心应用代码的情况下进行修改。这种方法不仅可以逃避检测，还能让恶意代码在更新后继续存在。

此次攻击活动尤其危险之处在于其供应链环节。研究人员认为，感染发生在制造阶段，这意味着这些手机在上架之前就已遭入侵。

许多设备来自中国一些较小的品牌，其中一些型号带有名为“SHOWJI”的标签。其他一些设备仍然无法追踪。

用蹩脚的俄语写成的产品描述

攻击不限于消息劫持

这些间谍软件不仅会替换钱包地址，还会深入目标设备的图片文件夹（例如 DCIM、下载和屏幕截图），寻找包含恢复短语的图片。

很多人为了方便会截取这些图片，但这些短语却是他们加密钱包的万能钥匙。如果攻击者获得这些图片，几分钟内就能盗走账户资金。

更糟糕的是，恶意 WhatsApp 更新系统并不指向官方服务器。相反，它会从黑客控制的域名获取更新，以确保间谍软件保持正常运行并保持最新状态。

Doctor Web 已识别出该攻击活动中使用的 60 台服务器和 30 个域名。一些与该行动相关的攻击者钱包已收到超过 100 万美元，其他钱包的余额则高达六位数。由于许多地址是动态生成的，因此完整的财务范围尚不清楚。

其中一个攻击者控制的钱包已经从受害者那里窃取了大量的加密货币（Dr. Web 截图）

Dr. Web 的网络安全专家警告用户要格外谨慎，尤其是在移动设备和加密安全方面。

他们建议避免购买未经验证的卖家提供的安卓手机，尤其是在价格低得令人难以置信的情况下。

为了确保设备的真实性，DevCheck 等工具可以帮助验证硬件规格，因为假冒型号经常会篡改系统详细信息，即使是在 CPU-Z 或 AIDA64 等知名应用中也是如此。

专家还建议不要将恢复短语、密码或私钥存储为未加密的图像或文本文件，因为这些文件很容易成为间谍软件的目标。下载应用程序时，最安全的做法是坚持使用 Google Play 等官方来源。

虽然该活动目前主要针对俄语用户，但预装在廉价安卓设备（包括智能手机和电视盒）上的恶意软件已被用于攻击全球范围内毫无戒心的用户。

技术报告：

https://news.drweb.com/show/?i=15002&lng=en

新闻链接：

https://hackread.com/pre-installed-malware-cheap-android-phones-crypto-fake-whatsapp/