Mod di WhatsApp con spyware

I nostri ricercatori hanno individuato modifiche di WhatsApp infette da spyware distribuite tramite canali Telegram e siti Web con mod di WhatsApp.

Nell’ultimo decennio, le app di messaggistica come WhatsApp e Telegram sono diventate parte integrante della vita di quasi tutti gli utenti di Internet. Miliardi di persone le usano per chattare con i propri cari, condividere foto e video divertenti con gli amici, comunicare con i colleghi, aggiornarsi sulle notizie e così via. Prova a immaginare la vita moderna senza servizi di messaggistica. Difficile, vero? Sfortunatamente, queste app indispensabili a volte contengono minacce nascoste.

Mod di WhatsApp e Telegram: cosa e perché

Alcune persone pensano che le app ufficiali di WhatsApp e Telegram manchino di alcune funzionalità, che si tratti di opzioni aggiuntive per personalizzare l’interfaccia o di qualcosa di più specifico (ad esempio, la possibilità di nascondere le chat, tradurre automaticamente i messaggi o visualizzare i messaggi eliminati dagli interlocutori). L’elenco delle funzionalità “mancanti” è molto lungo.

Sviluppatori di terze parti creano modifiche o mod delle app WhatsApp e Telegram standard per soddisfare anche le esigenze più specifiche degli utenti. Esistono moltissime mod di questo tipo.

Il problema con la loro installazione è che l’utente deve fare affidamento per i propri messaggi non solo sugli sviluppatori del servizio di messaggistica originale, ma anche sugli sviluppatori delle mod, che possono facilmente nascondere moduli dannosi al loro interno. Anche i distributori delle mod possono aggiungere elementi.

Nel caso di WhatsApp, la situazione con le mod è ulteriormente complicata dai suoi proprietari. Non approvano le modifiche, quindi ne ostacolano la distribuzione. Di tanto in tanto, i proprietari di WhatsApp tentano di vietare alle persone di utilizzare le mod, anche se finora senza successo. Nel frattempo sono riusciti a escludere i client alternativi per WhatsApp dagli store ufficiali come Google Play e App Store.

Di conseguenza, gli utenti delle mod di WhatsApp sono abituati a scaricarle praticamente ovunque. Vengono scaricati file APK senza troppe preoccupazioni, vengono modificate le impostazioni per consentire l’installazione da fonti sconosciute, quindi vengono eseguite le mod sui telefoni. I cybercriminali sfruttano questa mancanza di attenzione incorporando malware nelle mod.

I nostri esperti hanno recentemente individuato diverse mod infette, che esamineremo in questo post.

Mod di WhatsApp infette su Telegram

Le mod di WhatsApp che hanno attirato l’attenzione dei nostri esperti non avevano precedentemente mostrato alcuna attività dannosa. Ora, tuttavia, contengono un modulo spia, che le nostre soluzioni di sicurezza rilevano come Trojan-Spy.AndroidOS.CanesSpy.

Dopo l’installazione nello smartphone della vittima, una mod WhatsApp infetta attende che il telefono venga acceso o messo in carica prima di avviare il modulo spia. Contatta uno dei server di comando e controllo (C2) dal rispettivo elenco e vi carica varie informazioni sul dispositivo, come numero di telefono, IMEI, codice di rete cellulare e così via. Inoltre, il Trojan spia invia al server informazioni sui contatti e sugli account della vittima ogni cinque minuti, in attesa di comandi.

Tralasciando i comandi di servizio, le capacità del modulo spia si riducono essenzialmente a due funzioni:

  • Cerca nel dispositivo e invia ai suoi operatori i file contenuti nella memoria dello smartphone (per l’esattezza, nella sua parte non di sistema, o “memoria esterna” nella terminologia di Android).
  • Registra l’audio dal microfono integrato e, come prima, invia le registrazioni al server di comando e controllo.

Per quanto riguarda la distribuzione dello spyware, sono state individuate modifiche di WhatsApp infette in diversi canali Telegram arabi e azeri con i nomi di mod popolari: GBWhatsApp, WhatsApp Plus e AZE PLUS, una versione di WhatsApp Plus con l’interfaccia tradotta in azero.

Mod di WhatsApp infette nei canali Telegram

Le mod di WhatsApp infettate da spyware sono state distribuite principalmente in canali Telegram azeri e arabi

Inoltre, i nostri esperti hanno scoperto file APK infetti dal modulo spia in siti Web per il download delle mod di WhatsApp.

A ottobre, le nostre soluzioni di protezione hanno rilevato e impedito più di 340.000 attacchi di questo spyware in più di 100 paesi. Occorre tenere presente che stiamo parlando solo degli attacchi intercettati dalle nostre soluzioni. Il numero totale (che include i telefoni su cui queste soluzioni non sono installate) è probabilmente molto più alto.

Sebbene la diffusione geografica della minaccia sia ampia, il maggior numero di tentativi di infezione (con un ampio margine) è stato registrato in Azerbaigian, seguito da diversi paesi arabi (Yemen, Arabia Saudita ed Egitto), oltre che dalla Turchia.

Geografia dei tentativi di infezione da parte di Trojan-Spy.AndroidOS.CanesSpy

I primi 20 paesi in cui sono state distribuite le mod spia di WhatsApp

Come proteggersi dallo spyware per i servizi di messaggistica

Questo non è il primo caso del 2023 di moduli dannosi rilevati in app di messaggistica modificate. Qualche mese fa abbiamo scritto di una serie di mod infette per Telegram, WhatsApp e persino per il sistema di messaggistica sicuro Signal. Quindi ci sono tutte le ragioni per rimanere all’erta:

  • Usa solo le app WhatsApp e Telegram ufficiali. Come abbiamo visto, le mod dei servizi di messaggistica sono soggette al malware.
  • Installa le app solo dagli store ufficiali: Apple App Store, Google Play, Huawei AppGallery e simili. Non sono immuni al malware, ma sono comunque molto più sicuri dei siti Web di terze parti, che spesso non dispongono di alcuna misura di protezione.
  • Prima di installare qualsiasi app, esamina la sua pagina nello store e assicurati che non sia falsa: i criminali spesso creano cloni di app popolari.
  • Leggi le recensioni degli utenti sull’app, prestando particolare attenzione a quelle negative. Lì probabilmente scoprirai se l’app presenta attività sospette.
  • Assicurati di installare una protezione affidabile in tutti i tuoi dispositivi. Questa rileverà il codice dannoso all’interno di un’app apparentemente innocua e ti avviserà in tempo.
  • Ricorda che nella versione gratuita della nostra app Kaspersky for Android, è necessario eseguire la scansione manualmente.
  • Se utilizzi la versione premium della nostra protezione per Android (inclusa negli abbonamenti Kaspersky Standard, Kaspersky Plus e Kaspersky Premium ) puoi rilassarti: la scansione delle minacce viene eseguita automaticamente.
Consigli