FMWhatsApp — мод для WhatsApp с троянами внутри

В одной из версий FMWhatsApp — популярного мода WhatsApp — используется зараженный рекламный модуль, который скачивает на смартфон трояны.

Популярный мод для WhatsApp — FMWhatsApp — скачивает на смартфоны пользователей вирусы, ворующие аккаунты и показывающие рекламу

Недавно мы обнаружили версию популярного мода для мессенджера WhatsApp под названием FMWhatsApp, в которую был встроен вредоносный код трояна Triada — он, в свою очередь, скачивает на устройства пользователей другие трояны. Рассказываем, как так получилось и почему опасно пользоваться модифицированными версиями WhatsApp.

Зачем нужны моды WhatsApp?

Не всех пользователей устраивает базовая функциональность официального приложения WhatsApp. Кому-то может не хватать самоуничтожающихся сообщений или, наоборот, возможности просмотреть сообщения, удаленные другим пользователем; кто-то хочет использовать динамические темы, а кому-то нужна функция скрытия некоторых чатов из общего списка или автоматического перевода сообщений.

И конечно же, получить это хочется прямо сейчас, а не через пару лет, когда у разработчиков WhatsApp дойдут руки до внедрения новых функций. Поэтому люди начинают использовать модифицированные клиенты WhatsApp — их существует довольно большое количество, и в Интернете их несложно найти.

Поклонников модов не смущает даже тот факт, что время от времени WhatsApp объявляет подобные модификации вне закона и начинает банить аккаунты тех, кто ими пользуется.

Кроме того, помимо полезных для пользователя функций, создатели модов WhatsApp часто встраивают в них рекламу — что вполне понятно, ведь им надо каким-то образом извлекать прибыль из своего труда. Однако проблема в том, что зачастую они используют для этого сторонние рекламные модули, через которые — без ведома разработчиков самого мода — в приложение может попасть вредоносный код.

Троян Triada и его многочисленные друзья в моде FMWhatsapp

Так и случилось с одной из популярных модификаций WhatsApp — FMWhatsApp. В версию 16.80.0 вместе с одной из рекламных библиотек попал троян, которые наш мобильный антивирус детектирует как Trojan.AndroidOS.Triada.ef.

Похожую ситуацию весной 2021 года мы наблюдали с неофициальным магазином приложений APKPure: его разработчики также использовали рекламный модуль из непроверенного источника и таким образом заразили свое приложение трояном Triada, (правда, немного другой версии).

Как и в случае зараженного APKPure, в опасной версии мода FMWhatsApp троян Triada выполняет функцию посредника. Сначала он собирает данные об устройстве пользователя, а потом, в зависимости от обстоятельств, по команде своих владельцев скачивает на смартфон один из других троянов.

Вариантов, кого именно из своих «друзей» приведет с собой Triada на смартфон пользователя модифицированного мессенджера, довольно много — нам удалось обнаружить несколько различных зловредов, которые скачивает на устройства зараженная версия FMWhatsApp:

  • Trojan-Downloader.AndroidOS.Agent.ic — этот троян сам скачивает и запускает другие вредоносные модули.
  • Trojan-Downloader.AndroidOS.Gapac.e — также скачивает и запускает другие вредоносные модули. Кроме того, зловред может показывать полноэкранную рекламу в самый неожиданный момент.
  • Trojan-Downloader.AndroidOS.Helper.a — скачивает и запускает модуль установщика трояна xHelper. Также этот зловред запускает в фоновом режиме невидимую рекламу, накручивая ей просмотры.
  • Trojan.AndroidOS.MobOk.i — оформляет платные подписки на владельца устройства.
  • Trojan.AndroidOS.Subscriber.l — еще один троян, оформляющий на владельца устройства платные подписки.
  • Trojan.AndroidOS.Whatreg.b — наиболее сложный троян из перечисленных; он входит в аккаунт WhatsApp на телефоне жертвы, перехватывая SMS для подтверждения входа. Такая техника может быть использована для той или иной нелегальной деятельности из-под аккаунта, связанного с телефоном жертвы, — от распространения спама до торговли чем-нибудь запрещенным.

Больше информации о трояне Triada в моде FMWhatsApp — в посте на Securelist.

Как защититься от подобных атак

  • Старайтесь не устанавливать приложения из сторонних источников, а лучше — вовсе отключите разрешение на их установку в настройках Android. Если вам зачем-то потребовалось все же установить приложение не из официального магазина, временно снимите запрет, а потом снова верните его.
  • Используйте официальные мессенджеры, загруженные из официальных же магазинов приложений. Да, в них может не хватать каких-то дополнительных функций, зато они не установят на ваш смартфон пачку вирусов.
  • Не забывайте проверять, какие разрешения вы даете установленным приложениям — некоторые из них могут быть очень опасными.
  • Установите на смартфон надежный мобильный антивирус и внимательно относитесь к его предупреждениям.
Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.