Эксперты «Лаборатории Касперского» обнаружили новую версию неофициального приложения WhatsApp для Android, которая носит имя YoWhatsApp и ворует ключи доступа к учетным записям пользователей.
Исследователи рассказывают, что все началось еще в прошлом году, когда они изучали троян Triada, найденный внутри FMWhatsApp (одной из модифицированных сборок WhatsApp). Тогда же специалисты выявили, что вместе с рекламным SDK внутрь дистрибутива попал дроппер.
В этом году ситуация повторилась, только уже с другой модифицированной сборкой мессенджера — YoWhatsApp версии 2.22.11.75. Внутри нее оказался вредоносный модуль, которому присвоили индикатор Trojan.AndroidOS.Triada.eq.
Данный модуль расшифровывал и запускал на устройстве уже знакомую исследователям полезную нагрузку Trojan.AndroidOS.Triada.ef, а также похищал различные ключи, необходимые для работы легитимного WhatsApp. Исследователи считают, что для решения этой задачи злоумышленникам перед написанием новой версии пришлось разобраться во всех тонкостях работы мессенджера.
Ключ, которые воруют злоумышленники, как правило, используются в опенсорсных утилитах, которые позволяют пользоваться аккаунтом WhatsApp, не прибегая к загрузке приложения. Утечка ключей может привести к тому, что пользователь вредоносной модификации WhatsApp лишится контроля над своим аккаунтом.
Нужно отметить, что YoWhatsApp — это полностью работающее приложение, которое использует те же разрешения, что и официальное приложение WhatsApp, и продвигается с помощью рекламы в популярных приложениях для Android, таких как Snaptube и Vidmate. При этом YoWhatsApp имеет дополнительные функции, включая возможность настраивать интерфейс или блокировать доступ к отдельным чатам, что делает его весьма привлекательным для пользователей. В тоге те же права получает и троян Triada, и с их помощью он может, к примеру, оформлять пользователю платные подписки без его ведома.
«Лаборатория Касперского» сообщает, что уже проинформировала разработчиков Snaptube о том, что хакеры рекламируют вредоносные приложения через их платформу, поэтому этот канал распространения малвари уже должен быть закрыт.