YoWhatsApp — зараженная модификация WhatsApp | Блог Касперского

Рассказываем про заражение YoWhatsApp и объясняем, почему опасно пользоваться неофициальными клиентами для мессенджеров.

Очередная модификация WhatsApp под названием YoWhatsApp оказалась вредоносной — она загружает на смартфоны троян Triada, который показывает рекламу, втихую подписывает пользователя на платный контент и ворует WhatsApp-аккаунты. Как это произошло и какие выводы из этого можно сделать?

Не кормите крокодилов с рук, или Простые правила кибербезопасности

Едва ли не главное правило информационной безопасности — уменьшай риски. Для этого:

• Не ходи на подозрительные сайты — там может быть вредоносная реклама, не говоря уже о фишинге.
• Не скачивай с торрентов взломанные версии программ — в «таблетках» с большой долей вероятности может оказаться троян-стилер.
• Не переходи по ссылкам из писем, отправленных с незнакомых адресов, и не открывай вложения из них — там может быть все ровно то же самое.

Ну и так далее — простая осторожность здорово помогает в деле защиты от киберугроз.

При этом, конечно, все равно важно держать антивирус включенным и обновленным — как страховку на случай чего. Но в целом, если не испытывать судьбу, вероятность нарваться на неприятности намного ниже, чем если постоянно ходить, грубо говоря, ночью по безлюдным переулкам.

К уже перечисленным способам снижения рисков стоит добавить еще один, тоже из разряда вечной классики: не скачивай приложения для мобильных телефонов из неофициальных источников. Google и Apple проверяют приложения, прежде чем добавлять их в свои магазины, так что шансы встретить там зловреда довольно невелики, хотя все-таки и не равны нулю (особенно в случае Google Play). Так же делает и Huawei со своим магазином Huawei AppGallery, но и в нем уже находили зловредов. Однако вероятность встретить их на всевозможных открытых площадках, предлагающих просто скачать APK-файл, намного больше.

Ну и еще одно важное правило безопасности: не стоит пользоваться неофициальными клиентами для мессенджеров. В этом месте стоит сделать два шага назад и разобраться с тем, как работают мессенджеры. Большинство из них функционируют по схеме клиент-сервер (непосредственно пользователь напрямую взаимодействует с приложением-клиентом). Обмен данных между ними происходит по специальному протоколу. У многих мессенджеров этот самый протокол — открытый. Это делает возможным создание неофициальных модифицированных клиентов с дополнительными функциями. Например, с возможностью просматривать сообщения, удаленные другими пользователями, делать массовые рассылки, настраивать под себя интерфейс и так далее.

Так в чем же опасность? В случае с официальными клиентами вы доверяете свою переписку только создателям мессенджера. При использовании неофициального клиента ваше доверие распространяется не только на тех, кто сделал сам мессенджер, но и на тех, кто разработал неофициальное приложение-клиент. Плюс ко всему модифицированный клиент может распространяться через неофициальные же источники (а им, как мы помним, доверять нельзя). Все это — дополнительные этапы, где что-то может пойти не так, то есть дополнительные риски.

What’s up, Triada

Собственно, оно и пошло не так, причем по тому же сценарию, про который мы уже рассказывали в прошлом году. Тогда злоумышленники заразили приложение FMWhatsapp: встроенный в него дроппер загружал на устройство пользователя многофункциональный троян Triada. В основном этот модульный троян занимается показом рекламы и подпиской пользователя на платный контент.

Сейчас же произошло почти точно то же самое, даже мессенджер тот же, только неофициальный клиент другой. В этот раз заражению подвергся клиент YoWhatsApp, также известный как YoWA. Пользователей YoWhatsApp привлекает расширенными опциями приватности, возможностью передавать файлы размером до 700 Мбайт, увеличенной скоростью работы и так далее.

Злоумышленников же YoWhatsApp, видимо, заинтересовал тем, что у него есть приличная пользовательская база и что в Google Play эту модификацию не пустили. Поэтому пользователи привыкли скачивать YoWhatsApp из источников разной степени сомнительности. Одним из каналов, по которым распространялась зараженная версия мода, стала реклама в SnapTube — приложении для скачивания видео и аудио. В самом SnapTube при этом, вероятно, даже и не подозревали, что одна из рекламных кампаний распространяет зловреды.

Вместе с зараженным YoWhatsApp пользователь получал дроппер, доставлявший на его устройство троян Triada. Отличие от прошлогодней кампании в том, что на сей раз одним только дроппером дело не ограничилось. В YoWhatsApp добавили еще функцию, позволяющую воровать ключи, необходимые для работы WhatsApp. Этих ключей достаточно, чтобы угнать аккаунт и использовать его, например, для рассылки зловредов или выманивания денег у знакомых жертвы.

В итоге пользователь не только теряет деньги, поскольку Triada подключает ему платные подписки, но и рискует подставить своих знакомых, которым злоумышленники могут попробовать написать от его имени.

Как защититься от зловредов на Android

Самый надежный способ борьбы со зловредами — не попадать в ситуации, когда вы можете их заполучить. В данном случае для защиты достаточно следовать трем простым правилам:

• Не скачивайте приложения из неизвестных источников. И вообще, лучше заблокируйте возможность установки приложений не из Google Play на своем смартфоне.
• Не устанавливайте альтернативные клиенты для мессенджеров. Пусть официальные версии приложений не всегда идеальны, зато они намного надежнее и безопаснее.
• Пользуйтесь хорошей защитой и всегда держите ее включенной. Kaspersky для Android умеет обнаруживать различные модификации трояна Triada и других Android-зловредов и обезвреживать их до того, как они успеют что-то натворить. Важно помнить, что в бесплатной версии нашей мобильной защиты сканирование надо запускать вручную каждый раз, когда вы скачиваете или устанавливаете что-то новое. А вот полная версии автоматически сканирует каждое новое приложение.

18.10.2022