Mods do WhatsApp com spyware

Nossos pesquisadores descobriram modificações do WhatsApp infectadas por spyware e distribuídas pelos canais e sites do Telegram com mods do WhatsApp.

Na última década, os aplicativos de mensagens como o WhatsApp e o Telegram tornaram-se parte integrante da vida de quase todos os usuários da Internet. Eles são utilizados por bilhões de pessoas para conversar com entes queridos, compartilhar fotos e vídeos engraçados com amigos, comunicar-se com colegas de trabalho, acompanhar as notícias e assim por diante. Apenas tente imaginar a vida moderna sem os aplicativos de mensagens. Difícil, não é? Infelizmente, esses aplicativos indispensáveis às vezes contêm ameaças ocultas.

Mods do WhatsApp e Telegram: vamos compreender melhor

Algumas pessoas pensam que faltam funcionalidades nos aplicativos oficiais do WhatsApp e Telegram, como as opções adicionais para personalizar a interface ou algo mais específico por exemplo, a capacidade de ocultar bate-papos, traduzir mensagens automaticamente ou exibir as mensagens excluídas por parceiros de bate-papo. E a lista de recursos “ausentes” é muito longa.

Desenvolvedores de terceiros criam modificações ou mods de aplicativos padrão do WhatsApp e Telegram para satisfazer até as necessidades mais peculiares do usuário, e existem muitos desses mods.

O problema com a instalação de qualquer um deles é que o usuário deve confiar sua correspondência não apenas aos desenvolvedores do aplicativo de mensagens original, mas também aos desenvolvedores de mods. Esses desenvolvedores podem facilmente ocultar módulos maliciosos neles, sem contar que os distribuidores de mods também podem adicionar algum item proprietário.

No caso do WhatsApp, a situação com os mods é ainda mais complicada pelos seus proprietários. Eles não aprovam as modificações e, portanto, dificultam a distribuição. De tempos em tempos, os proprietários do WhatsApp tentam proibir as pessoas de usar mods, embora sem êxito até o momento. Enquanto isso, eles tiveram algum êxito em barrar clientes alternativos para o WhatsApp nas lojas oficiais como Google Play e App Store.

Como consequência, os usuários de mods do WhatsApp estão acostumados a baixá-los de praticamente qualquer lugar. Os arquivos APK são baixados sem receio, as configurações são alteradas para permitir a instalação de fontes desconhecidas e os mods são executados nos telefones. E os cibercriminosos exploram esse descuido ao incorporar malware nos mods.

Nossos especialistas recentemente encontraram vários desses mods infectados. Veremos isso neste post.

Mods do WhatsApp infectados no Telegram

Os mods do WhatsApp que chamaram a atenção de nossos especialistas não haviam demonstrado nenhuma atividade maliciosa anteriormente. Agora, no entanto, eles contêm um módulo espião que foi detectado por nossas soluções de segurança como Trojan-Spy.AndroidOS.CanesSpy.

Após a instalação no smartphone da vítima, um mod do WhatsApp infectado espera que o telefone seja ligado ou carregado antes de iniciar o módulo espião. Ele entra em contato com um dos servidores C2 da respectiva lista e carrega diversas informações sobre o dispositivo, como número de telefone, IMEI, código da rede celular e assim por diante. Além disso, o cavalo de Troia espião envia informações sobre os contatos e contas da vítima ao servidor a cada cinco minutos, enquanto espera por comandos.

Deixando de lado os comandos de serviço, as capacidades do módulo espião são essencialmente reduzidas a duas funções:

  • Pesquisa no dispositivo e envio às suas operadoras os arquivos contidos na memória do smartphone (para ser mais preciso, na parte que não é do sistema, ou “armazenamento externo” na terminologia do Android)
  • Gravação de som do microfone embutido e, como antes, envio das gravações para o C2

Quanto à forma como o spyware foi distribuído, modificações infectadas do WhatsApp foram encontradas em vários canais do Telegram árabes e do Azerbaijão sob os nomes de mods populares: GBWhatsApp, WhatsApp Plus e AZE PLUS: uma versão do WhatsApp Plus com a interface traduzida para o azeri.

Mods do WhatsApp infectados nos canais do Telegram

Os mods do WhatsApp infectados com spyware foram distribuídos principalmente e, canais árabes e do Azerbaijão do Telegram

Além disso, nossos especialistas descobriram arquivos APK infectados com o módulo espião em sites de download de mods do WhatsApp.

Em outubro, nossas soluções de segurança detectaram e impediram mais de 340 mil ataques desse spyware em mais de 100 países. Observe que estamos falando de ataques interceptados por nossas soluções. O número total (considerando os telefones nos quais nossas soluções não estão instaladas) é provavelmente muito maior.

Ainda que a disseminação geográfica da ameaça seja extensa, o maior número de tentativas de infecção, por uma ampla margem, foi registrado no Azerbaijão, seguido por vários países árabes: Iêmen, Arábia Saudita e Egito, assim como a Turquia.

Geografia das tentativas de infecção por Trojan-Spy.AndroidOS.CanesSpy

Os 20 principais países nos quais os mods de espionagem do WhatsApp foram distribuídos

Como se proteger contra spyware de aplicativos de mensagens

Este não é o primeiro caso em 2023 de módulos maliciosos encontrados em aplicativos de mensagens modificados. Há alguns meses, escrevemos sobre uma série de mods infectados para Telegram, WhatsApp e até mesmo o sistema de mensagens seguro Signal. Portanto, todos os motivos para manter a vigilância são válidos:

  • Use apenas os aplicativos oficiais do WhatsApp e do Telegram. Como vimos, os mods de aplicativos de mensagens estão propensos a malwares.
  • Instale aplicativos somente de lojas oficiais: Apple App Store, Google Play, Huawei AppGallery e similares. Eles não são imunes a malware, mas ainda são muito mais seguros do que os sites de terceiros. Eles geralmente não têm nenhuma medida de segurança em vigor.
  • Antes de instalar qualquer aplicativo, primeiro estude a página na loja, verifique e confirme a veracidade (os agentes mal-intencionados geralmente criam clones de aplicativos populares).
  • Leia as avaliações de usuários do aplicativo e tenha atenção especial em relação às avaliações negativas. Nessas avaliações, poderá ser possível descobrir se ele demonstra atividade suspeita.
  • Tenha a certeza de instalar uma proteção confiável em todos os dispositivos. Isso detectará o código malicioso dentro de um aplicativo aparentemente inofensivo e o avisará a tempo.
  • Não se esqueça de que na versão gratuita do nosso aplicativo, é necessário executar a verificação manualmente.
  • Caso use a versão premium de nossa proteção para Android, que está incluída nas assinaturas Kaspersky Standard, Kaspersky Plus e Kaspersky Premium, fique tranquilo: a verificação de ameaças ocorre automaticamente.
Dicas