Un’altra mod di WhatsApp, nota come YoWhatsApp, si è rivelata dannosa: la mod scarica sullo smartphone delle sue vittime il trojan Triada capace di mostrare annunci, iscrivere a contenuti a pagamento senza il consenso della vittima e rubare account WhatsApp. Come è potuto succedere e cosa possiamo imparare?
Non dare da mangiare ai coccodrilli con la mano, ovvero semplici regole di cybersecurity
Probabilmente la regola numero uno del decalogo della sicurezza informatica è quella di ridurre al minimo i rischi. Per farlo, tenete presente questi consigli:
- Non visitate siti web sospetti dato che potrebbero contenere annunci dannosi o essere una copertura per una truffa di phishing.
- Non scaricate versioni pirata di programmi tramite torrent. Se lo fate, è molto probabile che i crack contengano, ad esempio, un Trojan capace di rubare le password.
- Non cliccate sui link contenuti nelle e-mail inviate da indirizzi sconosciuti e non aprite gli allegati: potrebbero contenere malware di ogni tipo.
L’idea è chiara: la prudenza è fondamentale per proteggersi dalle cyber-minacce.
Ciò non toglie che sia importante mantenere l’antivirus attivo e aggiornato, come garanzia nel caso in cui qualcosa vada storto. Non sfidate la sorte commettendo l’equivalente online di una passeggiata in un vicolo buio di notte. Se si usa un po’ di buon senso, si possono ridurre notevolmente le possibilità di cadere vittima di truffatori.
Per ridurre i rischi di essere infettati, oltre ai modi sopra elencati, vale la pena aggiungerne un altro: non scaricate app mobile da fonti non ufficiali. Google e Apple verificano le app prima di includerle nei loro store, quindi le possibilità di incontrare dei malware sono minime, anche se non nulle (soprattutto nel caso di Google Play). Huawei si comporta in un modo simile con il suo store Huawei AppGallery, sebbene anche in questo store siano stati trovati malware. Ad ogni modo, è molto più probabile imbattersi in un malware se si usano piattaforme aperte che consentono di scaricare file APK.
Inoltre, esiste un’altra regola di sicurezza fondamentale: non utilizzate client non ufficiali per le app di messaggistica. Per capire quanto questo sia importante, facciamo qualche passo indietro e osserviamo più da vicino come funzionano le app di messaggistica.
La maggior parte di queste app funzionano in base al sistema client-server, in cui l’utente interagisce direttamente con l’app client. Lo scambio di dati tra client e server avviene attraverso un protocollo speciale. Per molte app di messaggistica questo protocollo è aperto. Ciò rende possibile la creazione di client modificati non ufficiali con funzioni aggiuntive, come la visualizzazione dei messaggi cancellati da altri utenti, la creazione di mailing di massa, la personalizzazione dell’interfaccia e così via.
Dove si nasconde il pericolo? Con i client ufficiali, stiamo affidando i nostri messaggi solo al creatore dell’app di messaggistica. Quando utilizziamo un client non ufficiale, stiamo affidando i nostri messaggi non solo agli sviluppatori del sistema di messaggistica ufficiale, ma anche agli sviluppatori dell’app client non ufficiale. Inoltre, il client modificato può essere distribuito attraverso fonti non ufficiali (di cui, come ricordiamo, non ci si dovrebbe fidare). Si tratta di passaggi aggiuntivi in cui qualcosa può andare storto. In altre parole, ci stiamo esponendo a maggiori rischi.
Che succede, Triada
Ovviamente, anche in questo caso qualcosa è andato storto e si è ripetuta la stessa storia di cui vi abbiamo parlato l’anno scorso. Ricapitolando: in quell’occasione, gli hacker avevano infettato la mod FMWhatsapp con un dropper che scaricava sui dispositivi degli utenti un trojan multifunzionale, Triada. Questo Trojan modulare mostra principalmente annunci e iscrive l’utente a contenuti a pagamento a sua insaputa.
Ora è successa praticamente la stessa cosa, con la stessa app di messaggistica, ma con un client diverso, sebbene sempre non ufficiale. Questa volta è stata infettata la mod YoWhatsApp, nota anche come YoWA. Questa mod attira gli utenti con opzioni di privacy ampliate, la possibilità di trasferire file fino a 700 MB, una maggiore velocità e molto altro.
YoWhatsApp ha una base di utenti significativa e proprio per questo ha attirato l’attenzione dei distributori di malware. Inoltre, il fatto che la mod non fosse presente su Google Play ha fatto il gioco dei criminali. Gli utenti sono abituati a scaricare YoWhatsApp da fonti non sempre affidabili. Uno dei principali canali di distribuzione della versione infetta della mod era la pubblicità su SnapTube, un’app per scaricare video e audio. Gli stessi proprietari di SnapTube probabilmente non sospettavano nemmeno che una delle sue campagne pubblicitarie stesse diffondendo malware.
Insieme a YoWhatsApp infetto, gli utenti si sono ritrovati con un dropper contenente il Trojan Triada. A differenza della campagna dell’anno scorso, questa volta il dropper non era l’unico elemento scaricato insieme al Trojan. A YoWhatsApp è stata aggiunta un’ulteriore funzione che consente agli hacker di rubare le chiavi necessarie al funzionamento di WhatsApp. Basta avere queste chiavi per prendere il controllo di un account e usarlo per fare cose come distribuire malware o sottrarre denaro ai contatti della vittima.
Di conseguenza, l’utente non solo perde denaro (dato che Triada lo iscrive a servizi a pagamento), ma rischia anche di mettere in pericolo i propri contatti, ai quali i criminali potrebbero provare a scrivere a nome dell’utente.
Come proteggersi dai malware su Android
Il modo migliore per combattere i malware è quello di evitare situazioni che potrebbero portarci a cadere in una delle loro trappole. Per proteggersi, possiamo seguire tre semplici regole:
• Non scaricare applicazioni da fonti sconosciute. È consigliabile bloccare, sul proprio smartphone Android, la possibilità di installare app da store o fonti che non sono Google Play.
• Non installare client alternativi per le app di messaggistica. Anche se le versioni ufficiali delle app non sono sempre perfette, sono molto più affidabili e sicure.
• Utilizzare una buona protezione e tenetela sempre attivata. Kaspersky for Android è in grado di rilevare diverse modifiche del Trojan Triada e di altri malware per Android e di bloccarli prima che creino problemi. Tenete presente che con la versione gratuita della nostra protezione mobile dovete eseguire manualmente la scansione ogni volta che scaricate o installate qualcosa di nuovo. La versione completa esegue automaticamente la scansione di ogni nuova app.