This post is also available in: Português
Uma versão maliciosa do FMWhatsApp, o mod (modificação) do WhatsApp, está infectando celulares Android com um trojan chamado Triada. Esse trojan é a porta de entrada para diversos outros malwares, como o trojan xHelper, que é muito difícil de remover.
O FMWhatsApp parece inofensivo, oferecendo uma melhor experiência para o usuário do WhatsApp com recursos adicionais, como temas coloridos, pacotes de emojis e uma suposta maior privacidade.
Porém, pesquisadores da Kaspersky descobriram que a versão FMWhatsApp 16.80.0 traz uma surpresa: o trojan Triada. Esse trojan está junto do SDK de banners publicitários que os desenvolvedores do mod usam para bancar o projeto.
Os pesquisadores avisaram que o código malicioso não foi colocado lá pelos desenvolvedores do FMWhatsApp. Como o aplicativo não está na Google Play, qualquer site pode hospedar sua APK.
Segundo Igor Golovin, especialista em segurança da Kapersky:
“Cibercriminosos podem alterar o código original e os hospedarem em sites populares que distribuem APKs de mods”.
“Quanto aos clones do FMWhatsApp no Google Play – esses aplicativos geralmente contêm apenas vários anúncios e instruem os usuários sobre como baixar e instalar mods enquanto não contem os próprios mods maliciosos”.
Triada é porta de entrada para outros malwares
Assim que instalado, o Triada começa a coletar informações do dispositivo e as envia para um servidor que, imediatamente, responde com um link para baixar um “pacote adicional” de arquivos, que na verdade serão outros malwares que o Trojan instalará no dispositivo infectado.
Segundo a Kaspersky, o Triada baixará e lançará vários tipos de malware adicionais nos dispositivos alvo. Tais como:
- Trojan-Downloader.AndroidOS.Agent.ic, que baixa e lança outros módulos maliciosos;
- Trojan-Downloader.AndroidOS.Gapac.e, que instala outros módulos maliciosos e exibe anúncios em tela cheia;
- Trojan-Downloader.AndroidOS.Helper.a, que instala o módulo instalador de Trojan xHelper e executa anúncios invisíveis em segundo plano;
- Trojan.AndroidOS.MobOk.i, que assina como proprietário do dispositivo Android para obter assinaturas pagas;
- Trojan.AndroidOS.Subscriber.I, que também inscreve vítimas para assinaturas premium;
- Trojan.AndroidOS.Whatreg.b, que coleta as informações e solicita o código de verificação para entrar nas contas do WhatsApp das vítimas.
O Triada instala malwares que podem inscrever as vítimas em assinaturas premium, dado que o aplicativo solicita acesso às mensagens de texto dos usuários assim que instalado.
Golovin diz:
“Com este aplicativo, é difícil para os usuários reconhecerem a ameaça potencial porque o aplicativo mod realmente faz o que é proposto: ele adiciona recursos extras.
Porém, observamos como os cibercriminosos começaram a espalhar arquivos maliciosos através dos blocos de anúncios em tais aplicativos. É por isso que recomendamos que você use apenas o software Messenger baixado em lojas oficiais de aplicativos.
Eles podem não ter algumas funções adicionais, mas não instalarão um monte de malwares em seu smartphone”.
Portanto, a principal dica para se manter seguro é nunca baixar aplicativos fora das lojas oficiais, já que eles não passam por uma vistoria minuciosa e podem ser perigosos. Como é o caso do FMWhatsApp, que além de trazer um trojan escondido, esse trojan pode instalar diversos outros malwares perigosíssimos, como é o caso do xHelper, que se destaca por sua capacidade de reinfectar dispositivos Android horas depois de ser removido ou depois que os dispositivos infectados são redefinidos para configurações de fábrica.
Fonte: BleepingComputer.
This post is also available in: Português
