Clicky

Versión modificada de WhatsApp para Android detectada instalando el troyano Triada

FMWhatsApp

FMWhatsApp permite a los usuarios personalizar la aplicación con diferentes temas

Se ha troyanizado una versión modificada de la aplicación de mensajería WhatsApp para Android para servir cargas útiles maliciosas, mostrar anuncios en pantalla completa y registrar a los propietarios de dispositivos para suscripciones premium no deseadas sin su conocimiento.

"El troyano Triada se coló en una de estas versiones modificadas del mensajero llamado FMWhatsApp 16.80.0 junto con el kit de desarrollo de software publicitario (SDK)", dijeron investigadores de la firma rusa de ciberseguridad Kaspersky en un artículo técnico publicado el martes. "Esto es similar a lo que sucedió con APKPure, donde el único código malicioso que estaba incrustado en la aplicación era un descargador de carga útil".

Las versiones modificadas de aplicaciones legítimas de Android, también conocidas como Modding, están diseñadas para realizar funciones que los desarrolladores de la aplicación no concibieron o pretendieron originalmente, y FMWhatsApp permite a los usuarios personalizar la aplicación con diferentes temas, personalizar iconos y ocultar funciones como las vistas por última vez e incluso desactivar funciones de videollamadas.

La variante manipulada de la aplicación detectada por Kaspersky viene equipada con capacidades para recopilar identificadores únicos de dispositivos, que se envían a un servidor remoto que responde con un enlace a una carga útil que posteriormente se descarga, descifra y lanza el troyano Triada.

código malicioso de FMWhatsApp

La carga útil, por su parte, se puede emplear para llevar a cabo una amplia gama de actividades maliciosas que van desde descargar módulos adicionales y mostrar anuncios en pantalla completa hasta suscribir sigilosamente a las víctimas a servicios premium e iniciar sesión en cuentas de WhatsApp en el dispositivo. Peor aún, los atacantes pueden secuestrar y tomar el control de las cuentas de WhatsApp para llevar a cabo ataques de ingeniería social o distribuir mensajes de spam, propagando así el malware a otros dispositivos.

"Vale la pena destacar que los usuarios de FMWhatsapp otorgan permiso a la aplicación para leer sus mensajes SMS, lo que significa que el troyano y todos los módulos maliciosos adicionales que carga también obtienen acceso a ellos", dijeron los investigadores. "Esto permite a los atacantes inscribir automáticamente a la víctima en suscripciones premium, incluso si se requiere un código de confirmación para completar el proceso".

Jesus_Caceres