Sembra WhatsApp ma è un malware: come funziona Trojan Triada - Cyber Security 360

L'insidia nella mod

Sembra WhatsApp ma è un malware: come funziona Trojan Triada

I ricercatori Kaspersky hanno scoperto che nell’app modificata FMWhatsApp si cela il trojan Triada, pronto a diffondere ulteriori malware con pericoli per i dati degli utenti: ecco in che modo colpisce e quali sono i suggerimenti per evitare di rimanerne vittime

27 Ago 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

I ricercatori di Kaspersky hanno scoperto una versione della popolare app mod di WhatsApp nota come FMWhatsApp che utilizzando un modulo pubblicitario di terze parti in realtà diffonde il trojan Triada. Il codice malevolo, una volta installato, provvede a scaricare anche altri malware sugli smartphone degli utenti infetti mettendone a rischio anche i dati personali.

Come funzionano le app mod di WhatsApp

Gli utenti di WhatsApp insoddisfatti che l’app ufficiale manchi di alcune funzionalità aggiuntive e utili per avere ad esempio temi animati, messaggi che si cancellano in automatico, opzioni per nascondere le conversazioni o per la traduzione automatica dei messaggi, vanno spesso alla ricerca di client WhatsApp modificati, disponibili e non così difficili da reperire online, anche a costo di rischiare, durante l’utilizzo di queste app alternative e corredate da funzioni extra, il blocco dei propri account ufficiali o dover sopportare la visualizzazione di annunci pubblicitari, solitamente sotto forma di banner spot.

Malware Android si diffonde via messaggi WhatsApp infettando i contatti in rubrica: i dettagli

L’insidia nascosta sul messanger FMWhatsapp

È proprio in una di queste versioni modificate del messenger chiamato FMWhatsapp (per la precisione la versione interessata sarebbe la 16.80.0) insieme al relativo kit SDK di sviluppo del software pubblicitario che i ricercatori di sicurezza hanno scoperto la presenza del trojan Triada.

In effetti, però, secondo Kaspersky questo non sarebbe un evento isolato, in quanto già nella scorsa primavera una situazione simile sarebbe stata riscontrata nell’app store non ufficiale “APKPure”, dove anche in questo caso gli sviluppatori avevano utilizzato, con superficialità, un modulo pubblicitario proveniente da una fonte non verificata e contenente una versione simile del trojan Triada.

La variante del Trojan Triada

Il Trojan Triada presente nella versione craccata della mod in oggetto e rilevato con l’identificativo Trojan.AndroidOS.Triada.ef (MD5 b1aa5d5bf39fee0b1e201d835e4dc8de) agisce, in particolare, come testa di ponte per l’iniezione di diversi altri tipi di malware.

Una volta avviata l’app FMWhatsapp modificata, il codice malevolo procede a raccogliere alcuni identificatori univoci del dispositivo per effettuarne la registrazione e le invia a un server C2 remoto per ricevere il collegamento definitivo al payload vero e proprio che il trojan, successivamente, scarica, decrittografa ed esegue. Le analisi eseguite sui file scaricati, hanno permesso ai ricercatori di sicurezza di identificare ben 6 diversi tipi di malware con varie funzioni di download ed avvio di moduli malevoli extra che rendono tutte le vittime potenzialmente vulnerabili ad attività illecite svolte attraverso i propri telefoni. In tutti i casi è bene precisare che la versione malevola dell’app mod FMWhatsapp per poter funzionare richiede agli utenti che venga concessa l’autorizzazione a leggere gli SMS. Ciò consente agli attaccanti anche di iscrivere automaticamente le vittime ad abbonamenti premium, con un codice di conferma per completare il processo.

I moduli malevoli

Tra i moduli rilevati, di particolare interesse risultano:

  • Il modulo (Trojan-Downloader.AndroidOS.Helper.a) che scarica e avvia l’installazione del noto ed insidioso Trojan “xHelper” e che esegue anche annunci in background per aumentare il numero di visualizzazioni ottenute;
  • il modulo Trojan.AndroidOS.MobOk.i che registra il proprietario del dispositivo ad abbonamenti premium. Nella fattispecie il Trojan MobOk apre la pagina di iscrizione e la esegue in background intercettando anche i codici di conferma;
  • Il modulo Trojan.AndroidOS.Whatreg.b che accede all’ account Whatsapp sul telefono della vittima. Il malware in esecuzione raccoglie informazioni sul dispositivo dell’utente e sull’operatore mobile e le invia al server di comando e controllo C2 per ottenere le informazioni d’accesso. Una volta raccolti gli ID necessari, il malware richiede un codice di verifica SMS, intercettando il testo di conferma per il login.

Gli altri moduli malevoli, principalmente implementati per finalità di registrazione ad abbonamenti a pagamento o come downloader di secondo livello sono stati identificati come:

  • Trojan-Downloader.AndroidOS.Agent.ic
  • Trojan-Downloader.AndroidOS.Gapac.e
  • Trojan-Downloader.AndroidOS.Subscriber.l

Come proteggersi da queste minacce

“Non è consigliabile utilizzare le modifiche delle app non ufficiali, in particolare le mod di WhatsApp – ha comunicato l’esperto di sicurezza Kaspersky Igor Golovin -. Si potrebbe finire con un abbonamento a pagamento indesiderato o addirittura col perdere del tutto il controllo del proprio account che gli aggressori potrebbero dirottare e utilizzare per i propri scopi, come la diffusione di spam”, nella migliore delle ipotesi.

Per questo motivo, per avere maggiore certezza di non installare malware sul proprio smartphone, è consigliabile utilizzare solo software di messaggistica scaricati dagli app store ufficiali o da risorse affidabili. Pertanto, per proteggersi dalle minacce informatiche su mobile, come consiglia Kaspersky, è fondamentale usare i propri dispositivi in modo sicuro e responsabile, controllando sempre le autorizzazioni concesse alle applicazioni installate e adoperando sui propri smartphone degli antivirus attendibili, aggiornandoli periodicamente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5