android

Моды WhatsApp со шпионом внутри

Наши исследователи обнаружили зараженные шпионским ПО модификации WhatsApp, которые распространялись через Telegram-каналы и cайты с модами для WhatsApp.

Kaspersky Team
15 ноября 2023

За последнее десятилетие приложения для мгновенного обмена сообщениями, такие как WhatsApp и Telegram, стали неотъемлемой частью жизни практически всех пользователей Интернета. Именно в них миллиарды людей теперь общаются с родными и близкими, обмениваются с друзьями смешными картинками и видео, коммуницируют с коллегами по работе, читают свежие новости и так далее. Попробуйте представить себе современную жизнь без мессенджеров — вряд ли у вас это получится. Но иногда внутри этих полезных приложений скрываются угрозы. Об этом мы и поговорим в нашем посте.

Моды WhatsApp и Telegram: что это такое и зачем они нужны

Не всем хватает стандартных функций официальных приложений WhatsApp и Telegram: кому-то нужны дополнительные возможности кастомизации интерфейса или что-то специфическое:

Скрывать чаты
Автоматически переводить сообщения
Просматривать удаленные собеседником сообщения.

Продолжать список этих недостающих функций можно очень долго.

На помощь пользователям, которых что-то не устраивает в стандартных приложениях WhatsApp и Telegram, приходят приложения от сторонних разработчиков — их еще часто называют модификациями или, более коротко, модами мессенджеров. Таких модификаций существует огромное количество.

Проблема в том, что устанавливая такое приложение, пользователям приходится доверять свою переписку не только оригинальным разработчикам мессенджера, но и третьим лицам. Во-первых, разработчикам модов, которые нередко прячут в них какие-то зловредные модули, а во-вторых, их распространителям — они также способны добавить что-то от себя.

Конкретно в случае WhatsApp ситуацию с модами дополнительно усложняют владельцы мессенджера, не одобряющие создание модификаций и препятствующие их распространению. Для этого они, с одной стороны, время от времени пытаются запретить пользователям использовать моды — впрочем, пока без особого успеха. А с другой стороны, — и тут они более успешны — не пускают альтернативные клиенты для WhatsApp в официальные магазины приложений, Apple App Store и Google Play.

Поэтому пользователи модов WhatsApp уже давно привыкали скачивать их откуда попало. Ведь в официальных магазинах их, как правило, все равно не найдешь. Так что они смело загружают APK-файлы, включают в настройках разрешение на установку приложений из сторонних источников и запускают моды на своем телефоне. Этим бесстрашием и пользуются преступники, встраивающие в модификации мессенджера зловредов.

Наши эксперты недавно обнаружили несколько таких зараженных модификаций. О них мы сегодня и расскажем.

Зараженные моды WhatsApp в Telegram-каналах

Модификации WhatsApp, которые привлекли внимание наших экспертов, pанее не проявляли какой-либо вредоносной активности. Теперь же в этих модах мессенджера появился шпионский модуль — наши защитные решения детектируют его как Trojan-Spy.AndroidOS.CanesSpy.

Установленные на устройство зараженные модификации WhatsApp ожидают, пока смартфон будет включен или поставлен на зарядку, и после этого запускают шпионский модуль. Тот, в свою очередь, связывается с одним из командных серверов из списка и загружает на него различную информацию о об устройстве — например, номер телефона, IMEI устройства, код сотовой сети и так далее. Кроме того, троян-шпион раз в пять минут отправляет на сервер информацию о контактах и аккаунтах жертвы, все это время ожидая команд.

Если оставить в стороне служебные команды, возможности шпионского модуля сводятся, по большому счету, к двум функциям.

Он умеет искать на устройстве и отправлять своим операторам файлы, содержащиеся в памяти смартфона (если быть точным, то в ее несистемной части, во «внешнем хранилище» в терминологии Android).
Также троян умеет записывать звук со встроенного микрофона и опять-таки отправлять записи на командный сервер.

Что касается способов распространения этого шпиона, то зараженные им модификации WhatsApp были обнаружены в нескольких арабских и азербайджанских Telegram-каналах. Там они фигурировали под именами популярных модов: GBWhatsApp, WhatsApp Plus, а также AZE PLUS — версии WhatsApp Plus c переводом интерфейса на азербайджанский язык.

Зараженные моды WhatsApp в Telegram-каналах

Зараженные шпионским ПО модификации WhatsApp распространялись в Telegram-каналах преимущественно на азербайджанском и арабском языках

Кроме того, зараженные шпионским модулем APK-файлы были обнаружены нашими экспертами и на тематических сайтах для загрузки модов WhatsApp.

В октябре наши защитные решения обнаружили и предотвратили более 340 000 атак этого шпиона в более чем ста странах мира. Тут следует подчеркнуть, что речь идет об атаках, которые были замечены нашей защитой. Количество всех атакованных устройств скорее всего значительно больше.

Хотя география распространения данной угрозы весьма широка, наибольшее число зарегистрированных попыток заражения приходится на Азербайджан. Он лидирует с большим отрывом. За Азербайджаном следуют несколько арабских стран — Йемен, Саудовская Аравия и Египет, а также Турция.

География попыток заражения шпионом Trojan-Spy.AndroidOS.CanesSpy

Топ-20 стран, в которых распространялись шпионские модифицикации WhatsApp

Как защититься от шпионов в мессенджерах

Это уже далеко не первый случай в 2023 году, когда в модифицированных приложениях мессенджеров находят вредоносные модули: не так давно мы уже писали о ряде случаев заражения модов Telegram, WhatsApp и даже безопасного мессенджера Signal. Поэтому есть все основания позаботиться о своей безопасности.

Старайтесь пользоваться официальными приложениями WhatsApp и Telegram. Как видите, в модификациях мессенджеров легко можно встретить вредоносное ПО.
Устанавливайте приложения из официальных магазинов — Apple App Store, Google Play, Huawei AppGallery и так далее. В них тоже встречаются зловреды, но значительно реже, чем на сторонних площадках, которые чаще всего вообще никак не заботятся о безопасности.
Перед установкой любого приложения сначала изучите его страницу в магазине и убедитесь в том, что это не подделка, — злоумышленники нередко создают клоны популярных приложений.
Читайте отзывы пользователей о приложениях, причем особое внимание уделяйте отзывам с плохими оценками. Обычно именно в них можно найти информацию о подозрительной активности программ.
Обязательно установите на все ваши устройства надежную защиту. Она вовремя обнаружит вредоносный код внутри безобидного на вид приложения и предупредит об этом.
Помните о том, что в бесплатной версии нашего приложения "Kaspersky: антивирус и защита" сканирование надо запускать вручную.
Если вы пользуетесь премиальной версией нашей защиты для Android, которая входит в подписки Kaspersky Standard, Kaspersky Plus и Kaspersky Premium, то специально ничего делать не надо: поиск угроз у вас происходит в автоматическом режиме.

Что такое Zero-Click exploit (эксплойт не требующий действий пользователя)

Как работают «зиро-клики» и что можно сделать для защиты

Рассказываем, что представляют собой Zero-Click атаки, чем они опасны и как от них защищаться.

Безопасность детей и защита приватности

Защита отдельных узлов сети

Другие решения

Другие Отрасли

Другие Продукты

Другие Сервисы

Моды WhatsApp со шпионом внутри

Моды WhatsApp и Telegram: что это такое и зачем они нужны

Зараженные моды WhatsApp в Telegram-каналах

Как защититься от шпионов в мессенджерах

История местоположения Google теперь хранится на устройстве… но это не точно

«Настройки с ограниченным доступом» в Android 13 и 14

Как работают «зиро-клики» и что можно сделать для защиты

Советы

Домашние прокси: в чем риски для организаций?

Сейчас вылетит (верифицированная) птичка, или как распознать фейк

Реклама на службе у… спецслужб

Босс или мошенник? Обман под видом поручений начальства

Подпишитесь на нашу еженедельную рассылку

Решения для дома

Для малого бизнеса

Для среднего бизнеса

Корпоративные решения

Securelist

Nota Bene: блог Евгения Касперского

Энциклопедия