Modificación maliciosa de WhatsApp difunde el troyano Triada

Investigadores descubrieron una nueva modificación maliciosa para WhatsApp llamada YoWhatsApp, la cual se ha popularizado por contar con funciones que la aplicación oficial no ofrece. Sin embargo, su objetivo es propagar el troyano móvil Triada, capaz de instalar otros troyanos, emitir suscripciones de pago e incluso, robar cuentas de WhatsApp. Más de 3,600 usuarios se han enfrentado a esta amenaza en los últimos dos meses, siendo Rusia, Brasil, México e Indonesia los países más afectados.

Aunque WhatsApp es una de las aplicaciones de mensajería más populares, con millones de usuarios en el mundo, no todos están satisfechos con las funciones que ofrece. Por tanto, algunos optan por descargar modificaciones que brindan más opciones: fondos de pantalla y tipos de letras para chats personalizados, mensajes en grupos, o la posibilidad de proteger ciertas conversaciones con contraseñas.

Sin embargo, éstas no siempre son seguras. Hace un año, Kaspersky descubrió otra modificación de la app de mensajería, que también propaga Triada, por lo que el descubrimiento de YoWhatsApp confirma que los estafadores siguen aprovechándose de los usuarios al crear nuevas extensiones maliciosas.

Para infectar a la mayor cantidad de personas posibles, los ciberdelincuentes anuncian la actualización de YoWhatsApp en Snaptube, app de Android para bajar videos de YouTube, Facebook e Instagram. Dado que cientos de miles de usuarios en el mundo la utilizan, muchos no saben que esta modificación podría ser peligrosa. Es probable que los programadores de Snaptube tampoco sepan que los atacantes aprovechan el mecanismo de publicidad legítimo en su aplicación.

Asimismo, se distribuye a través de Vidmate, que además de usarse para descargar videos de YouTube, contiene una tienda no oficial de apps de Android. Aquí, los atacantes publican una versión maliciosa llamada “Whatsapp Plus”. Ya que Vidmate no es una tienda oficial, la probabilidad de que ahí circulen apps maliciosas es muy alta.

Para usar la modificación, los usuarios deben iniciar sesión en su cuenta de la app oficial. Sin embargo, junto con todas las funciones nuevas, también reciben el troyano Triada. Tras infectar a la víctima, los atacantes bajan y ejecutan cargas maliciosas en su dispositivo, además de obtener las claves de su cuenta de WhatsApp. Esto les brinda permisos necesarios para que la app funcione correctamente, así como la capacidad de robar cuentas y obtener dinero de las víctimas inscribiéndolas para suscripciones por pago.

“La publicidad en plataformas legítimas es una forma muy astuta para que los delincuentes propaguen aplicaciones maliciosas, ya que muchos usuarios creen que, si la app que están usando es segura, cualquier publicidad en ella también lo será. Sin embargo, como podemos ver, esto no siempre es así, por lo que recomendamos que los usuarios solo descarguen aplicaciones de las tiendas oficiales. No siempre contarán con la misma cantidad de funciones personalizadas, pero definitivamente serán mucho más seguras para ellos, reduciendo así la posibilidad de perder su cuenta o su dinero”, comenta Anton Kivva, investigador de seguridad de la empresa especialista.

Las soluciones de la marca detectan el implante malicioso como: Trojan.AndroidOS.Triada.eq y Trojan-Dropper.AndroidOS.Triada.bd.

Para mantenerse seguro, recomienda:

• Instalar únicamente aplicaciones de tiendas oficiales confiables.
• Verificar los permisos otorgados a las apps instaladas; algunas de ellas pueden ser muy peligrosas.
• Instalar en su smartphone un antivirus móvil confiable para Android, que detectará y prevendrá posibles amenazas.

Fuente: Kasperski/CanalesTI, ACM