Một phiên bản không chính thức của ứng dụng nhắn tin WhatsApp phổ biến có tên YoWhatsApp đã được quan sát thấy đang triển khai một trojan Android được gọi là Triada.
Mục tiêu của phần mềm độc hại là đánh cắp các khóa “cho phép sử dụng tài khoản WhatsApp mà không cần ứng dụng”, Kaspersky cho biết trong một báo cáo mới. “Nếu khóa bị đánh cắp, người dùng mod WhatsApp độc hại có thể mất quyền kiểm soát tài khoản của họ.”
YoWhatsApp cung cấp khả năng cho người dùng khóa các cuộc trò chuyện, gửi tin nhắn đến các số chưa lưu và tùy chỉnh ứng dụng với nhiều tùy chọn theo chủ đề khác nhau. Nó cũng được cho là chia sẻ chồng chéo với các ứng dụng WhatsApp được sửa đổi khác như FMWhatsApp và HeyMods.
Công ty an ninh mạng của Nga cho biết họ đã tìm thấy chức năng độc hại trong YoWhatsApp phiên bản 2.22.11.75.
Thông thường, lây lan thông qua các quảng cáo gian lận trên Snaptube và Vidmate, khi cài đặt, ứng dụng yêu cầu nạn nhân cấp quyền truy cập tin nhắn SMS, cho phép phần mềm độc hại đăng ký họ vào các đăng ký trả phí mà họ không hề hay biết.
Việc đánh cắp thành công chìa khóa có thể dẫn đến toàn bộ tài khoản bị xâm phạm, cho phép kẻ thù truy cập tin nhắn trò chuyện và thậm chí mạo danh nạn nhân để gửi malspam và thực hiện hành vi gian lận tài chính.
Sự phát triển diễn ra trong bối cảnh Meta Platforms đệ đơn kiện ba nhà phát triển ở Trung Quốc và Đài Loan vì đã phân phối các ứng dụng WhatsApp không chính thức, bao gồm cả HeyMods, dẫn đến việc xâm phạm hơn một triệu tài khoản người dùng.
Các phát hiện cũng đến hơn một năm sau khi các tác nhân đe dọa được phát hiện phân phối phần mềm độc hại Triada thông qua FMWhatsApp.
Các nhà nghiên cứu chỉ ra: “Tội phạm mạng đang ngày càng sử dụng sức mạnh của phần mềm hợp pháp để phân phối các ứng dụng độc hại”. “Điều này có nghĩa là những người dùng chọn các ứng dụng phổ biến và các nguồn cài đặt chính thức, vẫn có thể trở thành nạn nhân của chúng.”
