Los investigadores de Kaspersky descubrieron una aplicación no oficial de WhatsApp para Android llamada ‘YoWhatsApp’ que roba las claves de acceso de las cuentas de los usuarios.
Las aplicaciones mod se anuncian como versiones no oficiales de aplicaciones legítimas que tienen características que la oficial no admite. YoWhatsApp es un mensajero completamente funcional que admite funciones adicionales, como personalizar la interfaz o bloquear el acceso a chats individuales.
La versión contaminada de WhatsApp solicita los mismos permisos que la aplicación de mensajería original, como el acceso a SMS.
“Para usar el mod de WhatsApp, los usuarios deben iniciar sesión en su cuenta de la aplicación legítima. Sin embargo, junto con todas las funciones nuevas, los usuarios también reciben el troyano Triada. Habiendo infectado a la víctima, los atacantes descargan y ejecutan payloads maliciosos en su dispositivo, además de obtener las claves de su cuenta en la aplicación oficial de WhatsApp”. informó Kaspersky. “Junto con los permisos necesarios para que WhatsApp funcione correctamente, esto les da la capacidad de robar cuentas y obtener dinero de las víctimas registrándolas en suscripciones pagas de las que ni siquiera están al tanto”.
Este mod ofrece el troyano Triada, que puede lanzar otras cargas maliciosas, emitir suscripciones pagas e incluso robar cuentas de WhatsApp. Según Kaspersky, más de 3600 usuarios han sido atacados en los últimos dos meses.
La aplicación de Android YoWhatsApp se anunció en la aplicación oficial de Snaptube.
Los expertos también encontraron la aplicación maliciosa integrada en la popular aplicación móvil Vidmate, que está diseñada para guardar y ver videos de YouTube. A diferencia de Snaptube, la compilación maliciosa se cargó en la tienda interna, que forma parte de Vidmate.
Los investigadores de Kaspersky informaron que YoWhatsApp v2.22.11.75 roba las claves de WhatsApp, lo que permite a los actores de amenazas apoderarse de las cuentas de los usuarios.
En 2021, Kaspersky detectó otra versión modificada de WhatsApp para Android, que ofrecía funciones adicionales, pero que se usaba para generar el troyano Triada .
La versión modificada se llama FMWhatsapp 16.80.0.
Los expertos también descubrieron el adv para el kit de desarrollo de software (SDK) que incluía el descargador para la carga útil maliciosa.
FMWhatsapp se diseñó para recopilar identificadores de dispositivos únicos (ID de dispositivo, ID de suscriptor, direcciones MAC) y el nombre del paquete de la aplicación donde se implementan.
Kaspersky, también acaba de publicar un informe en el que alerta a los usuarios de WhatsApp Plus que esto MOD están infectados con un peligroso troyano llamado Triada, que puede robar tu información y cuentas bancarias.
Según detalla AndroidPhoria, las versiones infectadas de YoWhatsApp y WhatsApp Plus vienen con un programa malicioso que puede robar los datos de tus apps financieras para dejarte sin ahorros. También es capaz de manipular tus cuentas de redes sociales para venderlas por internet.
De igual manera, este peligroso troyano puede espiar tus conversaciones (que no se encuentran cifradas de extremo a extremo) y hacerse pasar por ti para esparcir el malware a tus contactos y que ellos también salgan afectados.
“El usuario no solo pierde dinero, sino que también corre el riesgo de comprometer a sus contactos, a quienes los delincuentes pueden intentar escribir en nombre del usuario”, señaló Kaspersky en su documento.
