Por que os mods de serviços de mensagem são perigosos

Outra modificação do WhatsApp acabou se tornando perigosa. Explicamos o que aconteceu e como se manter protegido.

Mais uma modificação do WhatsApp, conhecida como YoWhatsApp, acabou se mostrando maliciosa: ela baixa o Trojan Triada para smartphones, que mostra anúncios, inscreve secretamente o usuário em conteúdo pago e rouba contas do WhatsApp. Como isso aconteceu e que lições podemos aprender?

 Não alimente crocodilos com as próprias mãos – ou regras simples de cibersegurança

Provavelmente, a regra mais importante da segurança da informação é reduzir seus riscos. Para fazer isso:

  • Não visite sites suspeitos — eles podem conter anúncios maliciosos ou ser uma fachada para um golpe de phishing.
  • Não baixe versões hackeadas de programas via torrents. Se você fizer isso, há uma boa chance de que os cracks contenham um Trojan para roubo de senha, por exemplo.
  • Não clique em links de e-mails enviados de endereços desconhecidos e não abra anexos — pode haver todos os tipos de malware esperando uma brecha para invadir seus dispositivos.

Já deu para entender: ser cuidadoso ajuda bastante a se proteger contra ciberameaças.

Ao mesmo tempo, ainda é importante manter seu antivírus ativado e atualizado — como garantia caso algo aconteça. Não arrisque sua sorte fazendo o equivalente online de andar por um beco deserto tarde da noite. Se você usar um pouco de bom senso, poderá reduzir bastante suas chances de ser vítima de golpistas.

Além das maneiras listadas acima para diminuir o risco de algo ruim acontecer, vale a pena adicionar mais uma dica: não baixe aplicativos mobile de fontes não oficiais. O Google e a Apple verificam os aplicativos antes de adicioná-los às suas lojas, então as chances de encontrar malware são pequenas – embora ainda não sejam zero (especialmente no caso do Google Play). A Huawei faz o mesmo com sua loja Huawei AppGallery, embora o malware já tenha sido encontrado lá também. Mas é muito mais provável que você encontre problemas em plataformas abertas que permitem simplesmente baixar um arquivo APK.

Há outra regra de segurança importante: não use clientes não oficiais para aplicativos de mensagens. Para entender por que isso é importante, vamos dar alguns passos para trás e analisar um pouco mais de perto como os aplicativos de mensagens funcionam.

A maioria deles opera de acordo com o modelo cliente-servidor, em que o usuário interage diretamente com o aplicativo cliente. A troca de dados entre cliente e servidor ocorre por meio de um protocolo especial. Para muitos aplicativos de mensagens, esse protocolo é aberto. Isso possibilita a criação de clientes modificados não oficiais com recursos adicionais, como visualizar mensagens que outros usuários excluíram, criar correspondências em massa, personalizar a interface e assim por diante.

Então onde está o perigo? Com clientes oficiais, você confia sua correspondência apenas ao criador do aplicativo de mensagens. Quando você usa um cliente não oficial, você o confia não apenas aos desenvolvedores do sistema de mensagens, mas também aos desenvolvedores da aplicação do cliente não oficial. Além disso, o cliente modificado pode ser distribuído por meio de fontes não oficiais (que, como lembramos, não devem ser confiáveis). Todos esses são estágios adicionais em que algo pode dar errado – em outras palavras, há riscos extras.

Fala aí, Triada

Naturalmente, algo deu errado, repetindo o cenário sobre o qual escrevemos no ano passado. Para recapitular: naquela época, os invasores infectaram o mod FMWhatsapp com um dropper que baixava um Trojan multifuncional – Triada – nos dispositivos dos usuários. Este Trojan modular mostra principalmente anúncios e inscreve o usuário em serviços de conteúdo pago.

Agora, praticamente a mesma coisa aconteceu – com o mesmo aplicativo de mensagens, mas um cliente não oficial diferente. Desta vez, o mod YoWhatsApp, também conhecido como YoWA, foi infectado. Este mod atrai usuários com opções de privacidade expandidas, capacidade de transferir arquivos de até 700 MB, maior velocidade e assim por diante.

Aparentemente, o YoWhatsApp chamou a atenção dos distribuidores de malware porque possui uma base de usuários significativa. Além disso, o fato de o mod não ser permitido na Google Play jogou a favor dos criminosos. Portanto, os usuários estão acostumados a baixar o YoWhatsApp de fontes com vários graus de confiabilidade. Um dos principais canais de distribuição da versão infectada do mod foi a publicidade no SnapTube, aplicativo para download de vídeo e áudio. Os próprios proprietários do SnapTube provavelmente nem suspeitavam que uma de suas campanhas publicitárias estava espalhando malware.

Junto com o YoWhatsApp infectado, os usuários receberam um dropper que entregava o Trojan Triada ao seu dispositivo. Ao contrário da campanha do ano passado, desta vez o dropper não foi a única coisa que veio com o Trojan. Um recurso adicional foi incluído ao YoWhatsApp que permite que invasores roubem as chaves necessárias para o funcionamento do WhatsApp. Essas chaves são suficientes para sequestrar uma conta e usá-la para fazer coisas como distribuir malware ou extrair dinheiro dos contatos da vítima.

Com isso, o usuário não só perde dinheiro — já que a Triada os inscreve para assinaturas pagas — como também corre o risco de comprometer seus contatos, aos quais os criminosos podem tentar escrever em nome do usuário.

Como se proteger de malwares no Android

A melhor maneira de combater malware é evitar situações em que você possa, antes de tudo, ser atingido. Nesse caso, existem três regras simples a serem seguidas para se proteger:

  • Não baixe aplicativos de fontes desconhecidas. Na verdade, é uma boa ideia bloquear a função de instalar aplicativos de outros lugares além do Google Play em seu smartphone Android.
  • Não instale clientes alternativos para aplicativos de mensagens. Mesmo que as versões oficiais dos aplicativos nem sempre sejam ideais, elas são muito mais confiáveis ​​e seguras.
  • Use uma boa proteção e mantenha-a sempre habilitada. O Kaspersky para Android pode detectar diferentes modificações do Triada Trojan e outros malwares do Android e bloqueá-los antes que eles tenham a chance de causar estragos. Lembre-se de que, com a versão gratuita de nossa proteção móvel, você precisa executar manualmente a verificação sempre que baixar ou instalar algo novo. A versão completa verifica automaticamente cada novo aplicativo.
Dicas