Varning: FMWhatsApp installerar virus och stjäl information

0 Shares

En skadlig version av FMWhatsApp, berömd modifierad WhatsApp (mod), infekterar Android-telefoner med ett samtal sorterad. Efter att ha infekterat telefonen öppnar den dörren till flera andra skadliga program, inklusive trojaner xHjälpare som är mycket svår att få bort.

FMWhatsApp lovar att förbättra WhatsApp-användarupplevelsen med ytterligare funktioner; som bättre integritet, anpassade chatteman, tillgång till paket från andra sociala nätverk och låsa appen med en PIN-kod, lösenord eller Touch ID.

Kaspersky-forskare fann dock att FMWhatsapp 16.80.0-versionen har en liten gåva som heter Triada. Detta är tillsammans med SDK för reklambanners som modutvecklare använder för att finansiera projektet.

Forskarna varnar för att det inte är utvecklaren av FMWhatsApp som lägger ut den skadliga koden. Problemet är att eftersom vilken webbplats som helst kan vara värd för appens apk, eftersom den inte går till Google Play, ändrar folk den ursprungliga koden och hostar den på “några populära webbplatser som distribuerar mod apk”, säger Kasperskys säkerhetsexpert, Igor Golovin.

“När det gäller [clones do FMWhatsApp] på Google Play — dessa appar innehåller vanligtvis bara massor av annonser och instruerar användare om hur man laddar ner och installerar mods, utan att de innehåller de skadliga modsna själva.”

FMWhatsApp infekterar mobiltelefoner med trojanska malware-virus

Trojan samlar in enhetsinformation och installerar mer skadlig programvara

När Triada väl har installerats börjar Triada samla in enhetsinformation och skicka den till en server som omedelbart svarar med en länk för att ladda ner ett “ytterligare paket” med filer, som faktiskt inte kommer att vara annan skadlig kod som trojanen kommer att installera på den infekterade Android-enheten.

Enligt Kaspersky kommer Triada att ladda ner och släppa flera ytterligare typer av skadlig programvara på målenheter, inklusive:

  • , som laddar ner och startar andra skadliga moduler.
  • , som installerar andra skadliga moduler och visar annonser i helskärm.
  • installerar installationsmodulen xHelper Trojan och kör osynliga annonser i bakgrunden.
  • Signerar med Android-enhetens ägare för att få betalprenumerationer.
  • registrerar även offer för premiumprenumerationer.
  • samlar in informationen och begär verifieringskoden för att logga in på offrens WhatsApp-konton.

Skadlig programvara installerad av Triada på Android-enheter med den modifierade WhatsApp FMWhatsApp kan enkelt registrera dem i premiumprenumerationer eftersom appen begär åtkomst till offrens textmeddelanden när den är installerad.

“Med den här appen är det svårt för användare att känna igen det potentiella hotet eftersom modappen faktiskt gör vad den föreslås – den lägger till ytterligare funktioner,” sa Golovin.

”Vi har dock sett hur cyberkriminella har börjat sprida skadliga filer via annonsblock i sådana appar. Det är därför vi rekommenderar att du bara använder messenger-mjukvara som laddas ner från officiella appbutiker”. Detta inkluderar att undvika versioner som WhatsApp GB, WhatsApp Plus och liknande.

“De kanske inte har några ytterligare funktioner, men de kommer inte att installera mycket skadlig programvara på din smartphone.”

Den oövervinnerliga och nästan omöjliga att ta bort xHelper

Bland skadlig programvara som tillhandahålls av Triada utmärker sig xHelper för sin fantastiska förmåga att återinfektera Android-enheter timmar efter att de tagits bort eller efter att infekterade enheter har återställts till fabriksinställningarna.

Först uppmärksammats av Malwarebytes i mars 2019, när det långsamt började spridas till över 32 000 Android-enheter, slutade xHelper att infektera totalt 45 000 enheter i oktober 2019.

xHelper använder “webb-omdirigeringar” för att lura mål att sidladda skadliga APK-filer från tredje parts Android-appbutiker, där de installerade apparna laddar ner och startar xHelper-trojanen.

Trojanen som följer med FMWhatsApp-nedladdningen som vi sa ovan överlever borttagningsförsöken genom att kopiera sig själv över systempartitionen, som den monterar om i skrivläge. Det ersätter också systembiblioteket libc.so för att blockera full åtkomst till sammansättningen och förhindra användare från att använda samma teknik för att ta bort den.

Medan fullständig översyn av Android-systemet på infekterade enheter är den mest idiotsäkra metoden för att bli av med xHelper, har Malwarebytes skapat en andra metod som involverar att installera företagets gratis malwarebytes för Android-appen.

0 Shares