Недавно было обнаружено, что в популярном моде для мессенджера WhatsApp под названием FMWhatsApp, был встроен вредоносный код трояна Triada — он, в свою очередь, скачивает на устройства пользователей другие трояны. Igor Golovin ассказывает, как так получилось и почему опасно пользоваться модифицированными версиями WhatsApp.
Зачем нужны моды WhatsApp?
Не всех пользователей устраивает базовая функциональность официального приложения WhatsApp. Кому-то может не хватать самоуничтожающихся сообщений или, наоборот, возможности просмотреть сообщения, удаленные другим пользователем; кто-то хочет использовать динамические темы, а кому-то нужна функция скрытия некоторых чатов из общего списка или автоматического перевода сообщений.
И конечно же, получить это хочется прямо сейчас, а не через пару лет, когда у разработчиков WhatsApp дойдут руки до внедрения новых функций. Поэтому люди начинают использовать модифицированные клиенты WhatsApp — их существует довольно большое количество, и в Интернете их несложно найти.
Поклонников модов не смущает даже тот факт, что время от времени WhatsApp объявляет подобные модификации вне закона и начинает банить аккаунты тех, кто ими пользуется.
Кроме того, помимо полезных для пользователя функций, создатели модов WhatsApp часто встраивают в них рекламу — что вполне понятно, ведь им надо каким-то образом извлекать прибыль из своего труда. Однако проблема в том, что зачастую они используют для этого сторонние рекламные модули, через которые — без ведома разработчиков самого мода — в приложение может попасть вредоносный код.
Троян Triada и его многочисленные друзья в моде FMWhatsapp
Так и случилось с одной из популярных модификаций WhatsApp — FMWhatsApp. В версию 16.80.0 вместе с одной из рекламных библиотек попал троян, которые наш мобильный антивирус детектирует как Trojan.AndroidOS.Triada.ef.
Похожую ситуацию весной 2021 года мы наблюдали с неофициальным магазином приложений APKPure: его разработчики также использовали рекламный модуль из непроверенного источника и таким образом заразили свое приложение трояном Triada, (правда, немного другой версии).
Как и в случае зараженного APKPure, в опасной версии мода FMWhatsApp троян Triada выполняет функцию посредника. Сначала он собирает данные об устройстве пользователя, а потом, в зависимости от обстоятельств, по команде своих владельцев скачивает на смартфон один из других троянов.
Вариантов, кого именно из своих «друзей» приведет с собой Triada на смартфон пользователя модифицированного мессенджера, довольно много — нам удалось обнаружить несколько различных зловредов, которые скачивает на устройства зараженная версия FMWhatsApp:
- Trojan-Downloader.AndroidOS.Agent.ic — этот троян сам скачивает и запускает другие вредоносные модули.
- Trojan-Downloader.AndroidOS.Gapac.e — также скачивает и запускает другие вредоносные модули. Кроме того, зловред может показывать полноэкранную рекламу в самый неожиданный момент.
- Trojan-Downloader.AndroidOS.Helper.a — скачивает и запускает модуль установщика трояна xHelper. Также этот зловред запускает в фоновом режиме невидимую рекламу, накручивая ей просмотры.
- Trojan.AndroidOS.MobOk.i — оформляет платные подписки на владельца устройства.
- Trojan.AndroidOS.Subscriber.l — еще один троян, оформляющий на владельца устройства платные подписки.
- Trojan.AndroidOS.Whatreg.b — наиболее сложный троян из перечисленных; он входит в аккаунт WhatsApp на телефоне жертвы, перехватывая SMS для подтверждения входа. Такая техника может быть использована для той или иной нелегальной деятельности из-под аккаунта, связанного с телефоном жертвы, — от распространения спама до торговли чем-нибудь запрещенным.
Больше информации о трояне Triada в моде FMWhatsApp — в посте на Securelist.
Как защититься от подобных атак
- Старайтесь не устанавливать приложения из сторонних источников, а лучше — вовсе отключите разрешение на их установку в настройках Android. Если вам зачем-то потребовалось все же установить приложение не из официального магазина, временно снимите запрет, а потом снова верните его.
- Используйте официальные мессенджеры, загруженные из официальных же магазинов приложений. Да, в них может не хватать каких-то дополнительных функций, зато они не установят на ваш смартфон пачку вирусов.
- Не забывайте проверять, какие разрешения вы даете установленным приложениям — некоторые из них могут быть очень опасными.
- Установите на смартфон надежный мобильный антивирус и внимательно относитесь к его предупреждениям.
Источник