В модифицированной сборке с дополнительными возможностями FMWhatsapp 16.80.0 мессенджера WhatsApp специалисты по безопасности выявили троянец Triada, попавший туда с рекламным SDK. При этом в приложение встраивается только загрузчик полезной нагрузки.
После запуска приложения зловред собирает уникальные идентификаторы устройства (DeviceID, SubscriberID, MAC-адрес) и имя пакета приложения, в которое он внедрен. Собранная информация отправляется на управляющий сервер для регистрации устройства. В ответ приходит ссылка на полезную нагрузку, которую троянец скачивает, расшифровывает и запускает.
Проанализировав статистику по скачиваемым FMWhatsapp файлам, аналитики выявили несколько вредоносных нагрузок:
Отдельно стоит отметить, что пользователь FMWhatsapp предоставляет приложению, а значит и троянцу со всеми вредоносными нагрузками, разрешение на чтение SMS. Благодаря этому злоумышленники могут автоматически оформлять жертве платные подписки даже в том случае, когда для этого требуется подтверждающий код из SMS.
Специалисты не рекомендуют использовать неофициальные модификации приложений, в частности WhatsApp. Поскольку с ними можно получить не только ненужную платную подписку, но и потерять контроль над аккаунтом в принципе, тогда как злоумышленники смогут использовать его, например, для распространения спама от вашего имени.