Beveiligingsonderzoekers ontdekten een aangepaste WhatsApp-build, YoWhatsApp-versie 2.22.11.75 die een kwaadaardige module verbergt die is gedetecteerd als Trojan.AndroidOS.Triada.eq (Triada trojan).
YoWhatsApp verbergt een kwaadaardige module
Volgens de beveiligde lijst van Kaspersky, de module decodeerde en lanceerde de belangrijkste payload van de trojan.
De kwaadaardige module kan verschillende sleutels stelen die nodig zijn om legitieme WhatsApp-versies te laten werken. De onderzoekers zijn van mening dat "om dit probleem op te lossen", de cybercriminelen moesten alle fijne kneepjes van de messenger doorgronden voordat ze de nieuwe versie schreven.”
Hoe is dit mogelijk? De genoemde sleutels worden meestal gebruikt in open-source hulpprogramma's waardoor het gebruik van een WhatsApp-account zonder de app zelf mogelijk is. Voor het geval de sleutels worden gestolen, een gebruiker van een kwaadaardige wijziging van de app kan de controle over het account verliezen, het rapport legde uit.
Opgemerkt moet worden dat de kwaadaardige YoWhatsApp-build "een volledig werkende messenger" is met extra functies. Bij de installatie, de app vraagt om dezelfde rechten als de originele messenger, en deze machtigingen worden verleend aan de Triada-trojan. Deze machtigingen worden gebruikt om betaalde abonnementen toe te voegen zonder medeweten van de gebruiker, onder andere kwaadaardige activiteiten.
De onderzoekers ontdekten ook een andere kwaadaardige versie van YoWhatsApp (WhatsApp Plus) in de Vidmate mobiele app. Deze kwaadaardige build is geüpload naar de interne winkel, onderdeel van Vidmate.
Wat is het doel van dergelijke kwaadaardige campagnes??
“Cybercriminelen gebruiken steeds vaker de kracht van legitieme software om kwaadaardige apps te verspreiden," de onderzoekers zei. Met andere woorden, zelfs mobiele gebruikers die alleen apps downloaden van officiële bronnen kunnen nog steeds worden beïnvloed. Malware zoals Triada kan dan worden gebruikt om ongevraagde berichten te verzenden, Inclusief malspam. Financieel verlies is ook mogelijk vanwege het vermogen van de malware om betaalde abonnementen op te zetten voor de getroffen gebruiker.
Het is opmerkelijk dat in 2017, Dr. Web-onderzoekers ontdekten dat: de Triada-trojan was vooraf geïnstalleerd op Android-apparaten waardoor aanvallers meer malware kunnen downloaden en uitvoeren op de telefoons van gebruikers. De trojan werd gedetecteerd op verschillende Chinese Android-mobiele telefoons, zoals de Leagoo M5 Plus, De Magoo M8, lease S10, en Nomu S20.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: