Un mod de WhatsApp infecte les appareils Android avec des malwares

0

Une version malveillante du mod FMWhatsappWhatsApp propage la charge utile Triadatrojan, une mauvaise surprise qui infecte leurs appareils avec des logiciels malveillants supplémentaires, y compris le cheval de Troie xHelper très difficile à supprimer.

FMWhatsApp promet d’améliorer l’expérience utilisateur de WhatsApp avec des fonctionnalités supplémentaires telles qu’une meilleure confidentialité, des thèmes de discussion personnalisés, l’accès aux packs d’emoji d’autres réseaux sociaux et le verrouillage des applications à l’aide d’un code PIN, d’un mot de passe ou de l’ID tactile.

Cependant, comme l’ont découvert les chercheurs de Kaspersky, la version FMWhatsapp 16.80.0 supprimera également le cheval de Troie Triada sur les appareils des utilisateurs à l’aide d’un SDK publicitaire.

« Cette application était disponible sur certains sites de distribution de mods WhatsApp populaires. Nous ne pouvons cependant pas partager les liens vers eux », a déclaré Igor Golovin, expert en sécurité de Kaspersky.

« En ce qui concerne les [clones FMWhatsApp] sur Google Play, ces applications ne contiennent généralement que diverses publicités et indiquent aux utilisateurs comment télécharger et installer des mods, sans pour autant contenir les mods malveillants eux-mêmes. »

Le cheval de Troie récupère les informations sur l’appareil et installe plus de logiciels malveillants

Une fois installé, Triada commence à collecter des informations sur l’appareil et les envoie à son serveur de commande et de contrôle, qui répond par un lien vers une charge utile supplémentaire que le cheval de Troie téléchargera et lancera sur l’appareil Android compromis.

Selon Kaspersky, Triada téléchargera et lancera plusieurs types de logiciels malveillants supplémentaires sur les appareils cibles, notamment:

  • Trojan-Downloader.AndroidOS.Agent.ic, qui télécharge et lance d’autres modules malveillants.
  • Trojan-Downloader.AndroidOS.Gapac.e, qui installe d’autres modules malveillants et affiche des publicités en plein écran.
  • Trojan-Downloader.AndroidOS.Helper.a installe le module d’installation du cheval de Troie xHelper et exécute des publicités invisibles en arrière-plan.
  • Trojan.AndroidOS.MobOk.i inscrit le propriétaire de l’appareil Android à des abonnements payants.
  • Trojan.AndroidOS.Subscriber.l inscrit également les victimes à des abonnements premium.
  • Trojan.AndroidOS.Whatreg.b récolte les informations et demande le code de vérification pour se connecter aux comptes WhatsApp des victimes.

Les logiciels malveillants propagés par Triada sur les appareils Android des utilisateurs de FMWhatsApp peuvent facilement les inscrire à un abonnement premium étant donné que l’application demande l’accès aux messages texte des victimes lorsqu’elle est installée.

« Avec cette application, il est difficile pour les utilisateurs de reconnaître la menace potentielle car l’application de mod fait réellement ce qui est proposé – elle ajoute des fonctionnalités supplémentaires », a déclaré Golovin.

« Cependant, nous avons observé comment les cybercriminels ont commencé à diffuser des fichiers malveillants via les blocs publicitaires de ces applications. C’est pourquoi nous vous recommandons d’utiliser uniquement un logiciel de messagerie téléchargé à partir des magasins d’applications officiels.

« Ils peuvent manquer de fonctions supplémentaires, mais ils n’installeront pas un tas de logiciels malveillants sur votre smartphone. »

L’invincible et presque impossible à supprimer xHelper

Parmi les logiciels malveillants fournis par Triada, xHelper se distingue par sa capacité étrange à réinfecter les appareils Android des heures après leur suppression ou après que les appareils infectés aient été réinitialisés aux paramètres d’usine.

Observé pour la première fois par Malwarebytes en Mars 2019, lorsqu’il a commencé à se propager lentement sur plus de 32 000 appareils Android, xHelper a finalement infecté un total de 45 000 appareils jusqu’en octobre 2019.

xHelper utilise des « redirections Web » pour amener les cibles à charger latéralement des APK malveillants à partir de magasins d’applications Android tiers, les applications installées téléchargeant et lançant le cheval de Troie xHelper.

Le cheval de Troie survit aux tentatives de suppression en se copiant sur la partition système, qu’il remonte en mode écriture. Il remplace également la bibliothèque système libc.so pour bloquer l’accès complet au montage et empêcher les utilisateurs d’utiliser la même technique pour le supprimer.

Bien que la réinitialisation complète du système Android sur les appareils infectés soit la méthode la plus infaillible pour se débarrasser de xHelper, Malwarebytes a proposé une deuxième méthode qui consiste à installer l’application gratuite Malwarebytes pour Android de la société.

Laisser un commentaire