FMWhatsApp, mod dla WhatsAppa, pobiera trojany

Jedna z wersji popularnej modyfikacji WhatsAppa, FMWhatsApp, używa zainfekowanego modułu reklamowego, który pobiera na smartfony trojany.

Niedawno odkryliśmy, że popularna modyfikacja dla aplikacji WhatsApp, FMWhatsApp, zawiera osadzonego trojana o nazwie Triada, który pobiera na urządzenia użytkowników kolejne szkodliwe oprogramowanie. Poniżej opisujemy, jak do tego doszło i dlaczego korzystanie ze zmodyfikowanych wersji WhatsAppa nie jest bezpieczne.

Dlaczego ludzie korzystają ze zmodyfikowanych wersji WhatsAppa?

Nie wszyscy użytkownicy są zadowoleni z oficjalnej aplikacji WhatsApp. Niektórzy chcieliby mieć opcję automatycznie znikających wiadomości, inni za to liczą na możliwość przeglądania wiadomości usuniętych przez innego użytkownika. Jedna osoba chce móc używać dynamicznych motywów, inna chciałaby ukryć wybrane czaty na liście ogólnej lub móc automatycznie tłumaczyć wiadomości.

Oczywiście wszyscy chcą tych funkcji od razu, nie czekając na to, aż zaczną je wdrażać programiści zajmujący się WhatsAppem. W rezultacie część użytkowników decyduje się na korzystanie z dostępnych w internecie zmodyfikowanych klientów WhatsAppa, których jest sporo i które są łatwo dostępne.

Miłośników takich modów nie odstraszają nawet sporadyczne akcje WhatsAppa polegające na blokowaniu takich aplikacji i tymczasowym zawieszaniu kont, które ich używały.

Trzeba powiedzieć sobie wprost: twórcy modów do WhatsAppa umieszczają w nich nie tylko poszukiwane przez użytkowników funkcje, ale często osadzają w nich także reklamy. Niestety czasami wykorzystywanie modułów reklamowych innych firm stwarza pewne problemy: jeśli zostanie umieszczony w nich szkodliwy kod, może on umknąć programistom.

Trojan Triada w modyfikacji FMWhatsApp

Tak właśnie stało się z FMWhatsApp, popularnym modem do WhatsAppa. W wersji 16.80.0 programiści skorzystali z modułu reklamowego firmy zewnętrznej, który zawiera trojana. Nasze mobilne rozwiązanie antywirusowe wykrywa to szkodliwe oprogramowanie jako Trojan.AndroidOS.Triada.ef.

Podobną sytuację zaobserwowaliśmy wiosną 2021 roku w nieoficjalnym sklepie z aplikacjami APKPure, którego programiści również skorzystali z modułu reklamowego pochodzącego z niezweryfikowanego źródła, infekując tym samym swoją aplikację (w konsekwencji użytkowników) trojanem Triada (choć nieco inną wersją).

Podobnie jak w przypadku zainfekowanego sklepu APKPure, trojan Triada w niebezpiecznej wersji moda FMWhatsApp pełni funkcję pośredniczącą. Najpierw zbiera dane o urządzeniu użytkownika, a następnie, w zależności od tych informacji, pobiera innego trojana.

„Dodatki” do Triady występują w różnych wariantach — zainfekowana wersja FMWhatsAppa pobiera na urządzenia kilka rodzajów szkodliwego oprogramowania:

  • Trojan-Downloader.AndroidOS.Agent.ic — trojan pobierający i uruchamiający inne szkodliwe moduły,
  • Trojan-Downloader.AndroidOS.Gapac.e — pobiera i uruchamia inne szkodliwe moduły, a także może niespodziewanie wyświetlać reklamy pełnoekranowe,
  • Trojan-Downloader.AndroidOS.Helper.a — pobiera i uruchamia moduł instalatora trojana xHelper i wyświetla niewidoczne reklamy w tle,
  • Trojan.AndroidOS.MobOk.i — zapisuje użytkownika do płatnych subskrypcji,
  • Trojan.AndroidOS.Subscriber.l — kolejny trojan, który zapisuje użytkownika do płatnych subskrypcji,
  • Trojan.AndroidOS.Whatreg.b — najbardziej złożony trojan z wymienionych, loguje się na konto w aplikacji WhatsApp na telefonie ofiary, przechwytując tekst potwierdzenia logowania. Następnie urządzenie może stać się zarzewiem różnego rodzaju nielegalnej aktywności, np. dystrybucji spamu lub nielegalnego handlu.

Więcej szczegółowych informacji na temat trojana Triada znalezionego w modzie FMWhatsapp umieściliśmy w naszym poście w serwisie Securelist.

Jak chronić się przed takimi atakami

Kluczem do ochrony telefonu przed szkodliwym oprogramowaniem i innymi mobilnymi zagrożeniami jest ćwiczenie ostrożności i bezpieczne korzystanie z urządzenia. Aby uniknąć problemów:

  • Unikaj instalowania aplikacji z nieoficjalnych źródeł i zablokuj w urządzeniu taką możliwość. Jeśli zmienisz zdanie, przed zainstalowaniem jakiejś aplikacji z nieoficjalnego sklepu tymczasowo włączysz to uprawnienie, a następnie wyłączysz je ponownie.
  • Używaj tylko oficjalnych aplikacji do przesyłania wiadomości i pobieraj je wyłącznie z oficjalnych sklepów z aplikacjami. Mogą one nie mieć niektórych funkcji, ale przynajmniej nie zaleją telefonu wirusami.
  • Sprawdź, jakie uprawnienia zostały przyznane zainstalowanym aplikacjom — niektóre z nich mogą stanowić realne zagrożenie.
  • Zainstaluj na telefonie niezawodną mobilną aplikację antywirusową i zwracaj uwagę na wyświetlane przez nią ostrzeżenia.
Porady