FMWhatsApp: la mod di WhatsApp che scarica Trojan

Una versione della popolare mod di WhatsApp, FMWhatsApp, utilizza un modulo pubblicitario infetto che scarica Trojan sugli smartphone.

Di recente abbiamo scoperto che esiste una versione della popolare mod WhatsApp FMWhatsApp con un Trojan. Si chiama Triada e scarica altri malware sui dispositivi degli utenti. Vi spieghiamo cosa è successo e perché è pericoloso usare versioni modificate di WhatsApp.

Perché usare le mod di WhatsApp?

Non tutti gli utenti sono contenti dell’app ufficiale di WhatsApp. Alcuni vorrebbero avere la possibilità di inviare messaggi che possono essere visualizzati una sola volta; ad altri, al contrario, piacerebbe avere l’opportunità di leggere i messaggi cancellati da un altro utente. Altri ancora vanno alla ricerca di temi dinamici, desidererebbero nascondere alcune chat dall’elenco generale oppure vorrebbero la traduzione automatica dei messaggi.

Naturalmente, gli utenti vogliono queste caratteristiche subito, non quando gli sviluppatori di WhatsApp decideranno di implementarle prima o poi. Di conseguenza, alcuni utenti si rivolgono ai client WhatsApp modificati disponibili online, che sono abbastanza numerosi e non così difficili da trovare.

I fan delle mod non sono scoraggiati nemmeno dai blocchi occasionali di WhatsApp per via di tali modifiche o dalla minaccia di vedere bannato l’account.

I creatori delle mod di WhatsApp, oltre a implementare le funzionalità desiderate dagli utenti, spesso ci aggiungono anche degli annunci pubblicitari, il che è comprensibile. Tuttavia, i problemi sorgono per via dell’uso di moduli pubblicitari di terze parti attraverso i quali un codice dannoso può intrufolarsi senza farsi notare dagli sviluppatori.

Triada e compagnia nella mod FMWhatsApp

Questo è esattamente quello che è successo con FMWhatsApp, una popolare mod di WhatsApp. Nella versione 16.80.0, gli sviluppatori utilizzano un modulo pubblicitario di terze parti che include un Trojan. La nostra soluzione mobile antivirus rileva questo malware come Trojan.AndroidOS.Triada.ef.

Abbiamo riscontrato una situazione simile nella primavera del 2021 con l’app store non ufficiale APKPure, dove gli sviluppatori avevano utilizzato un modulo pubblicitario proveniente da una fonte non verificata: di conseguenza, è stato infettato lo store, e quindi i suoi utenti, dal Trojan Triada (anche se una versione leggermente diversa).

Come nel caso dell’APKPure infetto, il Trojan Triada nella versione pericolosa della mod FMWhatsApp svolge una funzione intermedia. In primo luogo, raccoglie dati sul dispositivo dell’utente e poi, a seconda delle informazioni, scarica un altro Trojan.

Gli “extra” di Triada si presentano in vari modi e la versione infetta di FMWhatsApp scarica diversi tipi di malware sui dispositivi:

  • Trojan-Downloader.AndroidOS.Agent.ic, un Trojan che scarica ed esegue altri moduli dannosi;
  • Trojan-Downloader.AndroidOS.Gapac.e, che scarica ed esegue altri moduli dannosi e può anche mostrare annunci a tutto schermo in momenti inaspettati;
  • Trojan-Downloader.AndroidOS.Helper.a, che scarica ed esegue il modulo di installazione del Trojan xHelper ed esegue annunci invisibili in background;
  • AndroidOS.MobOk.i, un Trojan che si occupa della registrazione ad abbonamenti a pagamento;
  • AndroidOS.Subscriber.l, un altro Trojan che si occupa della registrazione ad abbonamenti a pagamento;
  • AndroidOS.Whatreg.b, è il Trojan più complesso dell’elenco e si collega all’account WhatsApp sul telefono della vittima, intercettando il testo di conferma del login. Il dispositivo può quindi diventare il luogo ideale per vari tipi di attività illegali come la distribuzione di spam o di compravendite poco trasparenti;
  • Nel nostro post su Securelist troverete maggiori dettagli sul Trojan Triada della mod FMWhatsapp.

Come difendersi da questi attacchi

Procedere con cautela e usare il vostro dispositivo in modo sicuro è fondamentale per tenere il malware e altre minacce fuori dallo smartphone. In generale, seguite questi consigli:

  • Evitate di installare app da fonti non ufficiali e usate le impostazioni del vostro dispositivo per negare il permesso di installarle (se avete bisogno di installare un’app da uno store non ufficiale, abilitate temporaneamente l’opzione e poi disabilitatela di nuovo non appena finito);
  • Usate solo le app di messaggistica ufficiali e scaricatele solo dagli app store ufficiali. Potrebbero non esserci alcune caratteristiche che desiderate ma di certo il telefono non sarà pieno di virus;
  • Controllate quali permessi avete concesso alle app installate, alcune potrebbero rappresentare una vera minaccia;
  • Installate un’app antivirus mobile affidabile sul telefono e prestate attenzione alle notifiche che ricevete.

Consigli