Individuata da Kaspersky una versione della popolare mod di WhatsApp, FMWhatsApp, che utilizza un modulo pubblicitario infetto che scarica un Trojan sugli smartphone. Si chiama Triada e scarica altri malware sui dispositivi degli utenti.
Nella versione 16.80.0, gli sviluppatori utilizzano un modulo pubblicitario di terze parti che include un Trojan. Gli esperti di Kaspersky avevano già riscontrato una situazione simile nella primavera del 2021 con l’app store non ufficiale APKPure, dove gli sviluppatori avevano utilizzato un modulo pubblicitario proveniente da una fonte non verificata.
Come nel caso dell’APKPure infetto, il Trojan Triada nella versione pericolosa della mod FMWhatsApp svolge una funzione intermedia: raccoglie dati sul dispositivo dell’utente e poi, a seconda delle informazioni, scarica un altro Trojan. Gli “extra” di Triada si presentano in vari modi e la versione infetta di FMWhatsApp scarica diversi tipi di malware sui dispositivi.
Una volta avviata l’app, Triada raccoglie identificatori di dispositivo univoci (ID dispositivo, ID abbonato, indirizzi MAC) e il nome del pacchetto dell’app in cui vengono distribuiti. Le informazioni che raccolgono vengono inviate a un server remoto per registrare il dispositivo. Risponde inviando un collegamento a un payload che il Trojan scarica, decrittografa e avvia. Una volta raccolti gli ID necessari, il malware richiede un codice di verifica.
Gli utenti di FMWhatsapp concedendo all’app il permesso di leggere i propri messaggi SMS, consentono che anche il Trojan e tutti gli altri moduli dannosi che carica possono accedervi. Ciò permette agli aggressori di iscrivere automaticamente la vittima agli abbonamenti premium, anche se è necessario un codice di conferma per completare il processo.
Gli esperti raccomandano di non utilizzare modifiche non ufficiali delle app, in particolare le mod di WhatsApp.
https://www.kaspersky.it/blog/fmwhatsapp-mod-downloads-malware/25378/