Исследователи обнаружили зараженные шпионским ПО модификации WhatsApp, которые распространялись через Telegram-каналы и cайты с модами для WhatsApp
За последнее десятилетие приложения для мгновенного обмена сообщениями, такие как WhatsApp и Telegram, стали неотъемлемой частью жизни практически всех пользователей Интернета. Именно в них миллиарды людей теперь общаются с родными и близкими, обмениваются с друзьями смешными картинками и видео, коммуницируют с коллегами по работе, читают свежие новости и так далее. Попробуйте представить себе современную жизнь без мессенджеров — вряд ли у вас это получится. И не удивительно, что столь востребованное ПО не осталось без внимания хакеров.
Моды WhatsApp и Telegram: что это такое и зачем они нужны
Не всем хватает стандартных функций официальных приложений WhatsApp и Telegram: кому-то нужны дополнительные возможности кастомизации интерфейса или что-то специфическое: скрывать чаты, автоматически переводить сообщения, просматривать удаленные собеседником сообщения. Список этих недостающих функций можно продолжать долго.
На помощь пользователям, которых что-то не устраивает в стандартных приложениях WhatsApp и Telegram, приходят приложения от сторонних разработчиков — их еще часто называют модификациями или, более коротко, модами мессенджеров. Таких модификаций существует огромное количество. К сожалению, сторонний разработчик – это часто «кот в мешке».
Проблема в том, что устанавливая такое приложение, пользователям приходится доверять свою переписку не только оригинальным разработчикам мессенджера, но и третьим лицам. Во-первых, разработчикам модов, которые нередко прячут в них какие-то зловредные модули, а во-вторых, их распространителям — они также способны добавить что-то от себя.
Конкретно в случае WhatsApp ситуацию с модами дополнительно усложняют владельцы мессенджера, не одобряющие создание модификаций и препятствующие их распространению. Для этого они, с одной стороны, время от времени пытаются запретить пользователям использовать моды — впрочем, пока без особого успеха. А с другой стороны, — и тут они более успешны — не пускают альтернативные клиенты для WhatsApp в официальные магазины приложений, Apple App Store и Google Play. Поэтому пользователи модов WhatsApp уже давно привыкали скачивать их откуда попало. Ведь в официальных магазинах их, как правило, все равно не найдешь. Так что они смело загружают APK-файлы, включают в настройках разрешение на установку приложений из сторонних источников и запускают моды на своем телефоне. Этим бесстрашием и пользуются преступники, встраивающие в модификации мессенджера зловредов.
Примеры зараженных модов WhatsApp в Telegram-каналах
Модификации WhatsAp, с потенциальной угрозой, pанее не проявляли какой-либо вредоносной активности. Теперь же в этих модах мессенджера появился шпионский модуль — классифицированный как Trojan-Spy.AndroidOS.CanesSpy.
Установленные на устройство зараженные модификации WhatsApp ожидают, пока смартфон будет включен или поставлен на зарядку, и после этого запускают шпионский модуль. Тот, в свою очередь, связывается с одним из командных серверов из списка и загружает на него различную информацию о об устройстве — например, номер телефона, IMEI устройства, код сотовой сети и так далее. Кроме того, троян-шпион раз в пять минут отправляет на сервер информацию о контактах и аккаунтах жертвы, все это время ожидая команд. Если оставить в стороне служебные команды, возможности шпионского модуля сводятся, по большому счету, к двум функциям.
- Он умеет искать на устройстве и отправлять своим операторам файлы, содержащиеся в памяти смартфона (если быть точным, то в ее несистемной части, во «внешнем хранилище» в терминологии Android).
- Также троян умеет записывать звук со встроенного микрофона и опять-таки отправлять записи на командный сервер.
Что касается способов распространения этого шпиона, то зараженные им модификации WhatsApp были обнаружены в нескольких арабских и азербайджанских Telegram-каналах. Там они фигурировали под именами популярных модов: GBWhatsApp, WhatsApp Plus, а также AZE PLUS — версии WhatsApp Plus c переводом интерфейса на азербайджанский язык. Кроме того, зараженные шпионским модулем APK-файлы были обнаружены и на тематических сайтах для загрузки модов WhatsApp.
В октябре защитные решения обнаружили и предотвратили более 340 000 атак этого шпиона в более чем ста странах мира. Тут следует подчеркнуть, что речь идет об атаках, которые были замечены защитой. Общее количество всех атакованных устройств скорее всего значительно больше. Хотя география распространения данной угрозы весьма широка, наибольшее число зарегистрированных попыток заражения приходится на Азербайджан. Он лидирует с большим отрывом. За Азербайджаном следуют несколько арабских стран — Йемен, Саудовская Аравия и Египет, а также Турция.
Как защититься от шпионов в мессенджерах
Это уже далеко не первый случай в 2023 году, когда в модифицированных приложениях мессенджеров находят вредоносные модули: не так давно мы уже писали о ряде случаев заражения модов Telegram, WhatsApp и даже безопасного мессенджера Signal. Поэтому есть все основания позаботиться о своей безопасности.
Старайтесь пользоваться официальными приложениями WhatsApp и Telegram. Как видите, в модификациях мессенджеров легко можно встретить вредоносное ПО.
Устанавливайте приложения из официальных магазинов — Apple App Store, Google Play, Huawei AppGallery и так далее. К сожалению, в них тоже встречаются зловреды, но значительно реже, чем на сторонних площадках, которые чаще всего вообще никак не заботятся о безопасности.
Перед установкой любого приложения сначала изучите его страницу в магазине и убедитесь в том, что это не подделка, — злоумышленники нередко создают клоны популярных приложений.
Читайте отзывы пользователей о приложениях, причем особое внимание уделяйте отзывам с плохими оценками. Обычно именно в них можно найти информацию о подозрительной активности программ.
Обязательно установите на все ваши устройства надежную защиту. Она вовремя обнаружит вредоносный код внутри безобидного на вид приложения и предупредит об этом.
По материалам Касперский