Zlonamjerni WhatsApp mod koji se distribuira putem legitimnih aplikacija

Prošle godine smo pisali o Trojanska trijada unutar FMWhatsAppa, modificirana verzija WhatsAppa. Tada smo otkrili da je kapaljka pronađena unutar distribucije zajedno s SDK-om za oglašavanje. Ove godine situacija se ponovila, ali s drugačijim modificiranim buildom, YoWhatsApp verzijom 2.22.11.75. Unutra smo pronašli zlonamjerni modul koji otkrivamo kao Trojan.AndroidOS.Triada.eq.

Pokretanje modula zlonamjernog softvera ugrađenog u mod

Pokretanje modula zlonamjernog softvera ugrađenog u mod

Modul je dekriptirao i izvršio glavni sadržaj Trojan.AndroidOS.Triada.ef.

Dekodiranje i izvođenje korisnog opterećenja

Dekodiranje i izvođenje korisnog opterećenja

Osim toga, zlonamjerni modul ukrao je razne ključeve potrebne za funkcioniranje legitimnog WhatsAppa. Pretpostavljamo da su kibernetički kriminalci za rješavanje ovog problema morali shvatiti sve zamršenosti glasnika prije nego što napišu novu verziju.

Trojanac čita WhatsApp ključeve...

Trojanac čita WhatsApp ključeve…

... i šalje prikupljene podatke na kontrolni poslužitelj

…i šalje prikupljene podatke na kontrolni poslužitelj

Obično se koriste ključevi za koje su zainteresirani kibernetički kriminalci alati otvorenog koda koji vam omogućuju korištenje vašeg WhatsApp računa bez aplikacije. Ako su ključevi ukradeni, korisnik zlonamjernog WhatsApp moda može izgubiti kontrolu nad svojim računom.

Registracija na yowsup zahtijeva prikupljene WhatsApp ključeve

Registracija na yowsup zahtijeva prikupljene WhatsApp ključeve

Imajte na umu da je u ostalim aspektima zaražena verzija YoWhatsAppa potpuno funkcionalan messenger s nekim dodatnim značajkama kao što je prilagođavanje sučelja ili blokiranje pristupa pojedinačnim razgovorima. Nakon instaliranja, zahtijeva ista dopuštenja kao i izvorni WhatsApp messenger, poput pristupa SMS-u. Ista dopuštenja dodijeljena su Trojancu Triada. Taj i slični zlonamjerni softver može ih koristiti, primjerice, za dodavanje plaćenih pretplata bez znanja korisnika.

Kako se YoWhatsApp zloćudni Messenger širi

Nakon što smo otkrili novi zlonamjerni WhatsApp mod, odlučili smo saznati odakle dolazi. Prema statistikama, bili su izvor oglašavanja na popularnoj aplikaciji Snaptube. Nakon kratke provjere, potvrdili smo da se YoWhatsApp oglasi mogu pronaći u službenoj aplikaciji Snaptube (MD5: C3B2982854814E537CD25D27E295CEFE) i klik na jedan će od korisnika zatražiti da instalira zlonamjernu verziju.

Ovo nije prvi put da se susrećemo s ovakvim načinom distribucije. Prethodno se slična situacija dogodila, na primjer, u Aplikacija CamScanner, čija je verzija objavljena na Google Play Marketu sadržavala biblioteku oglasa sa zlonamjernom komponentom. Upozorili smo programere Snaptubea da oglase u njihovoj aplikaciji koriste kibernetički kriminalci.

Naša istraga tu nije završila. Kasnije smo pronašli zlonamjernu verziju verzije YoWhatsApp u popularnoj mobilnoj aplikaciji Vidmate (MD5 CBA56F43C1EF32C43F7FC5E2AC368CDC) dizajniranoj za spremanje i gledanje YouTube videa. Za razliku od Snaptubea, zlonamjerna verzija je prenesena u internu pohranu koja je dio Vidmatea. Mod se zove WhatsApp Plus, ali njegove značajke, i legitimne i zlonamjerne, slične su onima na Snaptubeu. Verzija YoWhatsAppa također je ista.

YoWhatsApp mod sa zlonamjernim modulom koji se nalazi u Vidmateu zove se WhatsApp Plus

YoWhatsApp mod sa zlonamjernim modulom koji se nalazi u Vidmateu zove se WhatsApp Plus

Zaključak

Cyberkriminalci sve više iskorištavaju moć legitimnog softvera za distribuciju zlonamjernih aplikacija. To znači da korisnici koji odaberu popularne aplikacije i službene izvore instalacije i dalje mogu postati njihove žrtve. Konkretno, zlonamjerni softver poput Triade može ukrasti IM račun i, na primjer, koristiti ga za slanje neželjenih poruka, uključujući zlonamjernu neželjenu poštu. Novac korisnika također je u opasnosti jer zlonamjerni softver može lako postaviti plaćenu pretplatu za žrtvu.

MOK

MD5
AC6C42D2F312FE8E5FB48FE91C83656B
CAA640824B0E216FAB86402B14447953
72645469B04AF2D89BC24ADDA2705B68
DEAAFDD4B289443261E18B244EAFB577
F67A1866C962F870571587B833ADD47B
47674B2ADA8586ACAF34065FF4CF788A
8EE2DF87E75CC8AB1B77C54288D7A2D9

C&C
hxxps://wa.zcnewy[.]com
hxxp://av2wg.rt14v[.]com:13002
hxxps://g1790.rt14v[.]com:13001

Leave a Reply

Your email address will not be published. Required fields are marked *