I ricercatori di Kaspersky hanno scoperto una nuova versione dannosa non ufficiale di un popolare mod di messaggistica WhatsApp chiamato YoWhatsApp che diffonde il famigerato Trojan mobile Triada, che può scaricare altri Trojan, emettere abbonamenti a pagamento e persino rubare account WhatsApp. Più di 3.600 utenti hanno affrontato questa minaccia negli ultimi due mesi.
Alcuni utenti, insoddisfatti delle funzionalità offerte dall’applicazione legittima, preferiscono scaricare le mod di WhatsApp che forniscono molte più opzioni, come sfondi e caratteri personalizzati per le chat, la messaggistica di massa o l’accesso protetto da password a determinate conversazioni. Tali mod non sono tuttavia sempre sicure.
In precedenza, i ricercatori di Kaspersky avevano già scoperto un’altra modifica di WhatsApp, che diffondeva anche il pericoloso Trojan mobile Triada. Ora, i ricercatori hanno osservato che i truffatori continuano a sfruttare la popolarità del messenger riconosciuto a livello mondiale creando nuove modifiche dannose, come alcune versioni del cosiddetto YoWhatsApp.
Per infettare quanti più utenti possibile, i criminali informatici hanno fatto ricorso a un nuovo schema di distribuzione: pubblicizzano la mod YoWhatsApp dannosa nella popolare app Android Snaptube, che viene utilizzata per scaricare video da YouTube, Facebook e Instagram. Poiché YoWhatsApp viene pubblicizzato nell’app Snaptube utilizzata da centinaia di migliaia di utenti in tutto il mondo, molti di loro non sono nemmeno consapevoli che questa modifica potrebbe essere pericolosa. Molto probabilmente, anche gli sviluppatori di Snaptube non erano a conoscenza del fatto che gli aggressori hanno deciso di sfruttare il meccanismo di pubblicità legittimo nella loro app.
YoWhatsApp viene distribuito anche tramite l’app Vidmate, che rende la mod molto meno sospetta per i potenziali obiettivi ed espande il possibile numero di vittime. Oltre a essere utilizzata per scaricare video di YouTube, questa app contiene un app store Android non ufficiale dove gli aggressori hanno pubblicato una versione dannosa di YoWhatsApp chiamata “Whatsapp Plus”. Non essendo Vidmate un app store ufficiale, la probabilità che app dannose vengano distribuite lì aumenta più volte e l’aspetto di Whatsapp plus, che infetta gli utenti con il Trojan Triada, ne è un esempio.
Per utilizzare la mod di WhatsApp, gli utenti devono accedere al proprio account dell’app legittima. Insieme a tutte le nuove funzionalità, tuttavia, gli utenti saranno infettati anche dal Trojan Triada. Dopo aver infettato la vittima, gli aggressori scaricano ed eseguono payload dannosi sul proprio dispositivo, oltre a impossessarsi delle chiavi del proprio account sull’app WhatsApp ufficiale. Insieme alle autorizzazioni necessarie per il corretto funzionamento di WhatsApp, questo dà loro la possibilità di rubare account e ottenere denaro dalle vittime iscrivendole ad abbonamenti a pagamento di cui non sono nemmeno a conoscenza.
“La pubblicità in applicazioni legittime è un modo molto astuto per i criminali di diffondere applicazioni dannose, poiché molti utenti ritengono che, se l’applicazione che stanno utilizzando è sicura, anche qualsiasi pubblicità su di essa non comporta alcun rischio. Tuttavia, come possiamo vedere, non è sempre così, quindi, consigliamo agli utenti di scaricare le applicazioni solo dagli app store ufficiali. Non avranno sempre lo stesso numero elevato di funzionalità personalizzate, ma saranno sicuramente molto più sicure per te, riducendo la possibilità di perdere il tuo account o riducendo al minimo i tuoi soldi”, commenta Anton Kivva, ricercatore di sicurezza presso Kaspersky.
