Зараженный рекламный модуль скачивает на смартфон трояны.
Мы обнаружили версию популярного мода для WhatsApp FMWhatsApp, в которую встроен вредоносный код трояна Triada. Он скачивает на девайс пользователей другие трояны. Рассказываем, как так получилось и почему опасно пользоваться модифицированными версиями WhatsApp.
Зачем нужны моды WhatsApp?
Не всех пользователей устраивает базовая функциональность WhatsApp. Хочется добавить самоуничтожающиеся сообщения, возможность скрыть чат из списка или функцию автоматического перевода сообщений.
Получить это хочется сейчас, а не когда-то, когда разработчики WhatsApp добавят эти функции. Поэтому люди качают модифицированные клиенты WhatsApp — их множество, и найти их не составляет труда. Поклонников модов не смущает даже тот факт, что временами WhatsApp объявляет их вне закона и банят аккаунты тех, кто ими пользуется.
Помимо полезных функций, создатели модов WhatsApp часто встраивают в них рекламу. Это понятно — надо же им как-то зарабатывать. Проблема в том, что они используют сторонние рекламные модули, через которые без ведома разработчиков мода в приложение может попасть вредонос.
Троян Triada и его многочисленные друзья в моде FMWhatsapp
Так, вместе с рекламной библиотекой в версию 16.80.0 популярного мода FMWhatsApp попал троян, который мобильный антивирус детектирует как Trojan.AndroidOS.Triada.ef.
Такая ситуация весной 2021 года произошла с неофициальным магазином приложений APKPure: разработчики использовали рекламный модуль из непроверенного источника и заразили приложение трояном Triada, (хотя немного другой версии).
Как и в случае зараженного APKPure, в опасной версии мода FMWhatsApp троян Triada выполняет функцию посредника. Сперва он собирает данные об устройстве пользователя, а потом, в зависимости от обстоятельств, по команде владельцев скачивает на смартфон один из других троянов.
Вариантов, кого из своих «друзей» приведет с собой Triada на смартфон с модом немало — нам удалось обнаружить несколько разных зловредов, которые скачивает на устройства зараженная версия FMWhatsApp:
- Trojan-Downloader.AndroidOS.Agent.ic — этот троян сам скачивает и запускает другие вредоносные модули.
- Trojan-Downloader.AndroidOS.Gapac.e — также скачивает и запускает другие вредоносные модули. Кроме того, зловред может показывать полноэкранную рекламу в самый неожиданный момент.
- Trojan-Downloader.AndroidOS.Helper.a — скачивает и запускает модуль установщика трояна xHelper. Также этот зловред запускает в фоновом режиме невидимую рекламу, накручивая ей просмотры.
- Trojan.AndroidOS.MobOk.i — оформляет платные подписки на владельца устройства.
- Trojan.AndroidOS.Subscriber.l — оформляет платные подписки.
- Trojan.AndroidOS.Whatreg.b — наиболее сложный троян из этого списка, он входит в аккаунт WhatsApp на телефоне жертвы, перехватывая SMS для подтверждения входа. Такая техника может быть использована для нелегальной деятельности с аккаунта, связанного с телефоном жертвы, — от распространения спама до торговли чем-нибудь запрещенным.
Больше информации о трояне Triada в моде FMWhatsApp — в посте на Securelist.
Как защититься от подобных атак
- Старайтесь не устанавливать приложения из сторонних источников или отключите разрешение на их установку в настройках Android. Если вам зачем-то потребовалось установить приложение не из официального магазина, временно снимите запрет, а потом снова верните его.
- Используйте мессенджеры, загруженные из официальных магазинов приложений. Да, в них может не хватать каких-то функций, зато они не установят на ваш смартфон пачку вирусов.
- Не забывайте проверять, какие разрешения вы даете приложениям — некоторые из них могут быть очень опасными.
Обезопасьте ваш смартфон и читатайте оригинал статьи в нашем блоге.
