SHA1-хеш:
- 90013a24d03b72a6d9f8df38899fc2200e69682d
Описание
Троянизированное приложение WhatsApp для ОС Android. Модифицированный мессенджер был добавлен в прошивку смартфона в рамках supply chain attack.
Принцип действия
Представляет собой приложение WhatsApp, модифицированное с помощью фреймворка LSPatch. Этот фреймворк встраивает необходимые файлы DEX и SO непосредственно в целевой APK-файл, что позволяет изменять работу приложения при его запуске, не меняя его код.
После модификации в каталоге assets добавляется подкаталог lspatch со следующей структурой:
-
lspatch/
-
modules/
- com.whatsHook.apk
-
so/
-
arm64-v8a/
- liblspatch.so
-
armeabi-v7a/
- liblspatch.so
-
x86/
- liblspatch.so
-
86_64/
- liblspatch.so
-
arm64-v8a/
- config.json
- cloader.dex
- origin.apk
-
modules/
- loader.dex, liblspatch.so — файлы, необходимые для интеграции Xposed API;
- config.json — JSON-файл конфигурации, содержащий настройки для LSPatch;
- origin.apk — оригинальный файл исходного приложения WhatsApp;
- com.whatsHook.apk — вредоносный модуль, содержащий Android.Clipper.31.