Nuevo mod malicioso de WhatsApp

[13/10/2022] Los investigadores de Kaspersky han descubierto una nueva versión maliciosa de un popular mod de WhatsApp apodado YoWhatsApp.

"Popular por tener funciones que la app oficial no ofrece, este mod propaga el conocido troyano móvil Triada, que puede descargar otros troyanos, emitir suscripciones de pago, e incluso robar cuentas de WhatsApp. Más de 3.600 usuarios se han enfrentado a esta amenaza en los últimos dos meses. Este nuevo mod malicioso se anuncia en la popular aplicación Snaptube y también se distribuye a través de Vidmate. Esto hace que el mod parezca mucho menos sospechoso para los objetivos potenciales, y amplía el posible número de víctimas”, señaló Anton Kivva, investigador de seguridad de Kaspersky, en un comunicado de prensa.

El investigador anotó que, si bien WhatsApp es una de las aplicaciones de mensajería más populares, utilizada por millones de usuarios en todo el mundo, no todos están satisfechos con las funciones que ofrece la aplicación legítima. Por ello, agregó, algunos usuarios prefieren descargar mods de WhatsApp que ofrecen muchas más opciones, como fondos y fuentes personalizadas para los chats, mensajería masiva o acceso protegido por contraseña a determinadas conversaciones.

"Sin embargo, estos mods no siempre son seguros. Anteriormente, Kaspersky ya había descubierto otra modificación de WhatsApp, que también propaga el peligroso troyano para móviles Triada.  Y ahora, los investigadores han comprobado que los estafadores siguen aprovechando la popularidad de la aplicación de mensajería mundialmente reconocida creando nuevas modificaciones maliciosas, como algunas versiones del llamado YoWhatsApp”, sostuvo Kivva.

Agregó que, para infectar al mayor número posible de usuarios, los ciberdelincuentes han recurrido a un nuevo esquema de distribución. Ahora anuncian el mod malicioso YoWhatsApp en la popular aplicación para Android Snaptube, que se utiliza para descargar videos de YouTube, Facebook e Instagram. "Dado que YoWhatsApp se anuncia en la aplicación Snaptube, utilizada por cientos de miles de usuarios en todo el mundo, muchos de ellos ni siquiera son conscientes de que esta modificación podría ser peligrosa. Lo más probable es que ni siquiera los desarrolladores de Snaptube fueran conscientes de que los atacantes han decidido aprovecharse del mecanismo de publicidad legítima en su app”.

Kivva comentó que YoWhatsApp también se distribuye a través de la aplicación Vidmate. Además de utilizarse para descargar videos de YouTube, esta aplicación contiene una tienda de aplicaciones no oficial para Android. "Aquí, los atacantes publicaron una versión maliciosa de YoWhatsApp llamada 'Whatsapp Plus'. Dado que Vidmate no es una tienda de aplicaciones oficial, la probabilidad de que se distribuyan allí aplicaciones maliciosas se multiplica, y la aparición de Whatsapp plus, que infecta a los usuarios con el troyano Triada, es un ejemplo de ello”.

"Para utilizar el mod de WhatsApp, los usuarios tienen que entrar en su cuenta de la app legítima. Sin embargo, junto con todas las nuevas funciones, los usuarios también reciben el troyano Triada. Una vez infectada la víctima, los atacantes descargan y ejecutan cargas útiles maliciosas en su dispositivo, además de hacerse con las claves de su cuenta en la app oficial de WhatsApp. Junto con los permisos necesarios para que WhatsApp funcione correctamente, esto les da la posibilidad de robar cuentas y obtener dinero de las víctimas inscribiéndolas en suscripciones de pago de las que ni siquiera son conscientes”, explicó Kivva.

El ejecutivo finalizó recomendando a los usuarios que descarguen aplicaciones solo de las tiendas de aplicaciones oficiales. "No siempre llevarán el mismo número de funciones personalizadas, pero sin duda serán mucho más seguras para usted, reduciendo la posibilidad de perder su cuenta o de reducir su dinero al mínimo".

CIO, Perú