25 августа 2021 г., 13:05
В модифицированной сборке с дополнительными возможностями FMWhatsapp 16.80.0 мессенджера WhatsApp специалисты по безопасности выявили троянец Triada, попавший туда с рекламным SDK. При этом в приложение встраивается только загрузчик полезной нагрузки.
После запуска приложения зловред собирает уникальные идентификаторы устройства (DeviceID, SubscriberID, MAC-адрес) и имя пакета приложения, в которое он внедрен. Собранная информация отправляется на управляющий сервер для регистрации устройства. В ответ приходит ссылка на полезную нагрузку, которую троянец скачивает, расшифровывает и запускает.
Проанализировав статистику по скачиваемым FMWhatsapp файлам, аналитики выявили несколько вредоносных нагрузок:
- Trojan-Downloader.AndroidOS.Agent.ic – скачивает и запускает другие вредоносные модули;
- Trojan-Downloader.AndroidOS.Gapac.e – также скачивает и запускает другие вредоносные модули. Кроме того, показывает полноэкранную рекламу в самый неожиданный момент;
- Trojan-Downloader.AndroidOS.Helper.a – скачивает и запускает модуль установщика троянца xHelper. Также запускает в фоновом режиме невидимую рекламу, накручивая ей просмотры;
- Trojan.AndroidOS.MobOk.i – оформляет платные подписки на владельца устройства;
- Trojan.AndroidOS.Subscriber.l – также предназначен для оформления платных подписок;
- Trojan.AndroidOS.Whatreg.b – входит в Whatsapp-аккаунт на телефоне жертвы. Зловред собирает информацию об устройстве пользователя и сети оператора, затем отправляет ее на командный сервер. Сервер в ответ возвращает адрес для запроса кода подтверждения и другие параметры для входа.
Отдельно стоит отметить, что пользователь FMWhatsapp предоставляет приложению, а значит и троянцу со всеми вредоносными нагрузками, разрешение на чтение SMS. Благодаря этому злоумышленники могут автоматически оформлять жертве платные подписки даже в том случае, когда для этого требуется подтверждающий код из SMS.
Специалисты не рекомендуют использовать неофициальные модификации приложений, в частности WhatsApp. Поскольку с ними можно получить не только ненужную платную подписку, но и потерять контроль над аккаунтом в принципе, тогда как злоумышленники смогут использовать его, например, для распространения спама от вашего имени.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365