В ноябре 2023 года Kaspersky Lab наткнулись на вредоносный вариант Android, нацеленный на мобильные телефоны различных китайских OEM-производителей. Их продукция предназначалась в основном для российского рынка. Ранее эта же вредоносная программа была обнаружена в прошивке детских смарт-часов израильского производителя, распространяемых в основном в Европе и на Ближнем Востоке.
Dwphon поставляется как компонент приложения для обновления системы и обладает многими характеристиками предустановленного вредоносного ПО для Android. Например, он собирает информацию об устройстве и персональные данные, а также информацию о сторонних приложениях, установленных на устройстве. Точный путь заражения неясен, но есть предположение, что инфицированное приложение было включено в прошивку в результате возможной атаки по цепочке поставок.
Сама вредоносная программа состоит из нескольких модулей, обеспечивающих выполнение ряда функций:
- Главный модуль. Собирает системную информацию (например, IMSI, язык системы и т. д.) и отправляет ее в C2. Получаемые команды связаны с установкой, загрузкой и удалением приложений на устройстве, загрузкой файлов, показом всплывающих окон и т. д.
- Модуль DsSdk. Еще один модуль, собирающий информацию об устройстве. Модуль имеет свой собственный C2 и не может принимать команды.
- Модуль ExtEnabler. Этот модуль запускает и контролирует работу других приложений. Частью функциональности модуля является отправка широковещательного сообщения при запуске приложения. Некоторые из исследованных образцов не содержали никакого кода приемника. Однако Kaspersky Lab нашли один образец, который его содержал. Этот образец включает в себя троянца Triada, что позволяет предположить связь между Dwphon и Triada, хотя доказательств этому недостаточно.
Indicators of Compromise
MD5
- 042f041108a79ac07d7b3165531faa9a
- 1796e678498bf9a067c43769f4096488
- 274b8d86042d94a6ca6823841fec6d2c