Μια νέα έκδοση μιας ανεπίσημης Android εφαρμογής WhatsApp με το όνομα “YoWhatsApp” κλέβει τα κλειδιά πρόσβασης για τους λογαριασμούς των χρηστών.
Το YoWhatsApp είναι μια εφαρμογή ανταλλαγής μηνυμάτων που χρησιμοποιεί τα ίδια δικαιώματα με την επίσημη εφαρμογή WhatsApp και προωθείται μέσω διαφημίσεων σε δημοφιλείς εφαρμογές Android, όπως το Snaptube και το Vidmate.
Η εφαρμογή περιλαμβάνει κάποιες λειτουργίες που δεν έχει το κανονικό WhatsApp, όπως τη δυνατότητα προσαρμογής της διεπαφής ή τη δυνατότητα αποκλεισμού της πρόσβασης στις συνομιλίες. Είναι κάποια χαρακτηριστικά που θα μπορούσαν να προσελκύσουν τους χρήστες και να τους κάνουν να το προτιμήσουν έναντι του επίσημου WhatsApp.
Δείτε επίσης: Νέα επίθεση npm timing θα οδηγήσει σε επιθέσεις supply chain
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Ωστόσο, αναλυτές απειλών της Kaspersky ανακάλυψαν ότι το YoWhatsApp v2.22.11.75 κλέβει WhatsApp keys, επιτρέποντας στους παράγοντες απειλών να ελέγχουν τους λογαριασμούς των χρηστών.
WhatsApp: Προσοχή στη νέα κακόβουλη εφαρμογή
Η κακόβουλη έκδοση της εφαρμογής YoWhatsApp ανακαλύφθηκε από τους ερευνητές της Kaspersky, στη διάρκεια της έρευνάς τους σχετικά με το Triada Trojan που κρύβεται μέσα σε τροποποιημένα WhatsApp builds.
Σύμφωνα με τους ερευνητές, η τροποποιημένη εφαρμογή στέλνει τα κλειδιά πρόσβασης WhatsApp των χρηστών στον απομακρυσμένο διακομιστή του προγραμματιστή. Η Kaspersky λέει ότι αυτά τα κλειδιά μπορούν να χρησιμοποιηθούν σε open-source utilities για σύνδεση και εκτέλεση ενεργειών ως χρήστης.
Τα κλεμμένα κλειδιά πρόσβασης μπορεί να επιτρέψουν σε τρίτους να πάρουν τον έλεγχο λογαριασμών WhatsApp, να αποκαλύψουν ευαίσθητες επικοινωνίες των χρηστών ή να εξαπατήσουν τις επαφές των θυμάτων.
Δείτε επίσης: Νέα καμπάνια phishing COVID-19 στις ΗΠΑ καταχράται τα Google Forms
Όπως η πραγματική εφαρμογή WhatsApp για Android συσκευές, έτσι και η κακόβουλη εφαρμογή ζητά άδειες, όπως πρόσβαση σε SMS, οι οποίες εκχωρούνται επίσης στο Triada Trojan που είναι ενσωματωμένο στην εφαρμογή.
Η Kaspersky λέει ότι το trojan μπορεί να κάνει κατάχρηση αυτών των αδειών για να εγγράψει τα θύματα σε premium υπηρεσίες, χωρίς να το καταλάβουν.
Διανομή
Όπως είπαμε και παραπάνω, το τροποποιημένο YoWhatsApp προωθείται μέσω διαφημίσεων σε Android εφαρμογές όπως το Snaptube, ένα πολύ δημοφιλές πρόγραμμα λήψης βίντεο.
Η Kaspersky ενημέρωσε το Snaptube για εγκληματίες του κυβερνοχώρου που σπρώχνουν κακόβουλες εφαρμογές μέσω της διαφημιστικής της πλατφόρμας. Επομένως, αναμένουμε ότι σύντομα θα σταματήσει η διανομή μέσω αυτής της οδού.
Η Kaspersky βρήκε επίσης έναν κλώνο YoWhatsApp με το όνομα “WhatsApp Plus“, με την ίδια κακόβουλη λειτουργία. Αυτή η εφαρμογή διαδόθηκε μέσω της εφαρμογής VidMate, προφανώς χωρίς να το γνωρίζουν οι συντάκτες του.
Δείτε επίσης: Windows: Όλες οι εκδόσεις μπλοκάρουν τις επιθέσεις brute-force admin
Τις προηγούμενες ημέρες, η Meta, μητρική του WhatsApp, μήνυσε αρκετές κινεζικές εταιρείες που δραστηριοποιούνται ως HeyMods, Highlight Mobi και HeyWhatsApp για την ανάπτυξη «ανεπίσημων» εφαρμογών WhatsApp που έκλεβαν λογαριασμούς WhatsApp.
WhatsApp: Επιλέξτε την επίσημη εφαρμογή για να παραμείνετε ασφαλείς
Δεν είναι όλες οι ανεπίσημες εφαρμογές κακόβουλες, αλλά αν θέλετε να αυξήσετε τις πιθανότητες να είστε ασφαλείς, πρέπει να επιλέξετε την επίσημη εφαρμογή WhatsApp.
Σε αυτήν την περίπτωση, οι εφαρμογές που προωθούν τις κακόβουλες εκδόσεις WhatsApp μπορούν να ληφθούν μόνο με τη μορφή APK εκτός του Google Play Store. Αυτό είναι κάτι που επίσης πρέπει να αποφεύγεται. Πρέπει να κάνετε λήψη εφαρμογών μόνο από επίσημα καταστήματα και να ελέγχετε καλά τις άδειες που ζητούν. Αν ζητούν πρόσβαση σε πολλά δεδομένα, αποφύγετε τις εφαρμογές.
Το Triada trojan μπορεί να χρησιμοποιήσει τα κλειδιά πρόσβασης για να στείλει κακόβουλο περιεχόμενο χρησιμοποιώντας τον κλεμμένο λογαριασμό, εκμεταλλευόμενο το γεγονός ότι τα άτομα εμπιστεύονται τις επαφές τους στο WhatsApp που συνήθως αποτελούνται από φίλους και οικογένεια.
Πηγή: www.bleepingcomputer.com