Előre telepített trójai programokat és hátsó ajtókat (backdoor) rejtenek a hamisított androidos okostelefon-modellek, amelyekkel WhatsApp és WhatsApp Business fiókokat vettek célba a támadók.
A Doctor Web kutatói 2022 júliusában legalább négy különböző népszerű okostelefon-márka modelljének (P48 pro, Xiaomi Redmi Note 8, Note30u és Huawei Mate40) hamisított mását fedezték fel. A jelentés szerint ezek a készülékek – ahelyett, hogy egy támogatott operációs rendszert, például az Android 10-et futtatnák –, már régen elavult Android rendszerrel (4.4.2-es verzió) kerülnek a forgalomba.
A szóban forgó készülékekben két konkrét fájl (/system/lib/libcutils.so és a /system/lib/libmtd.so) került manipulálásra oly módon, hogy ha bármely alkalmazás használja a libmtd.so rendszerkönyvtárat, elindul a fájlba telepített trójai program. Sőt, ha ez az alkalmazás a WhatsApp vagy a WhatsApp Business, a libmtd.so elindít egy olyan hátsóajtót, aminek feladata, hogy további kiegészítőket (plugin) töltsön le és telepítsen az eszközre. Ennek következtében a támadók – a letöltött rosszindulatú funkcióktól függően – akár hozzáférhetnek az alkalmazás fájljaihoz, a csevegésekhez, kéretlen üzeneteket küldhetnek, lehallgathatják a telefonhívásokat stb. Viszont, ha az alkalmazás wpa_supplicant (hálózati kapcsolatok kezelésére alkalmas rendszerdémon), abban az esetben a libmtd.so elindít egy helyi szervert, ami távoli vagy helyi kliensek közötti kapcsolatokat épít fel a mysh konzolon keresztül.
Az ilyen és ehhez hasonló támadások elkerülése érdekében kizárólag hivatalos viszonteladóktól ajánlott a készülékek beszerzése.