Llamada YoWhatsApp implementa un troyano de Android conocido como Triada
Se ha observado que una versión no oficial de la popular aplicación de mensajería de WhatsApp llamada YoWhatsApp implementa un troyano de Android conocido como Triada.
El objetivo del malware es robar las claves que "permiten el uso de una cuenta de WhatsApp sin la aplicación", dijo Kaspersky en un nuevo informe. "Si se roban las claves, un usuario de un mod malicioso de WhatsApp puede perder el control de su cuenta".
YoWhatsApp ofrece a los usuarios la posibilidad de bloquear chats, enviar mensajes a números no guardados y personalizar la aplicación con una variedad de opciones temáticas. También se dice que comparte superposiciones con otros clientes de WhatsApp modificados, como FMWhatsApp y HeyMods.
La compañía rusa de ciberseguridad dijo que encontró la funcionalidad maliciosa en la versión 2.22.11.75 de YoWhatsApp.
La aplicación, que generalmente se propaga a través de anuncios fraudulentos en Snaptube y Vidmate, solicita a las víctimas que le concedan permisos para acceder a los mensajes SMS, lo que permite que el malware los inscriba sin su conocimiento en suscripciones de pago.
Un robo exitoso de las claves puede llevar a un compromiso total de la cuenta, lo que permite al adversario acceder a los mensajes de chat e incluso hacerse pasar por la víctima para enviar correo no deseado y realizar fraudes financieros.
El desarrollo se produce cuando Meta Platforms presentó una demanda contra tres desarrolladores en China y Taiwán por distribuir aplicaciones no oficiales de WhatsApp, incluido HeyMods, que resultó en el compromiso de más de un millón de cuentas de usuario.
Los hallazgos también llegan poco más de un año después de que se descubriera que los actores de amenazas entregaban el malware Triada a través de FMWhatsApp.
"Los ciberdelincuentes utilizan cada vez más el poder del software legítimo para distribuir aplicaciones maliciosas", señalaron los investigadores. "Esto significa que los usuarios que eligen aplicaciones populares y fuentes de instalación oficiales aún pueden ser víctimas de ellas".
