Uma versão maliciosa do FMWhatsApp, uma popular modificação na interface para Android do WhatsApp, foi criada por golpistas carregada de um malware. Além de interceptar mensagens de texto, força o usuário a obter assinaturas pagas.

O trojan Triada, identificado pela empresa de segurança Kaspersky foi inserido na versão 16.80.0 do mod junto com o kit de desenvolvimento de software (SDK) de publicidade do app. Algo semelhante ao que aconteceu com o aplicativo APKPure em abril deste ano.

publicidade

Entre os problemas que atingem o usuário da versão do mod FMWhatsApp há download e instalação de outros módulos maliciosos e exibição de anúncios em tela cheia repentinamente. Também há exibição de anúncios invisíveis em segundo plano (que aumenta o número de visualizações da publicidade em questão, sem o usuário nem saber, ao custo de recursos do aparelho).

A pessoa que cai no golpe também pode acabar sendo inscrita em assinaturas pagas ou premium diversas. Isso acontece mesmo se um código de confirmação for necessário para concluir o processo.

Tudo acontece quando, para usar o mod FMWhatsApp baixado e instalado em seu aparelho, o usuário concede à ferramenta permissão para acesso às mensagens SMS. Ou seja, indiretamente, o Triada e todos os outros módulos maliciosos que o trojan carrega também ganham tal acesso.

Modificar o WhatsApp abre caminho para malware

Assim que o usuário inicia o app, o malware reúne informações exclusivas do aparelho, (como ID de dispositivo, ID de assinante, endereço MAC) e o nome do pacote do aplicativo onde eles são implantados. Esses dados são enviados a um servidor remoto para registrar o dispositivo. Ele responde enviando um link para uma carga útil que o Triada baixa, descriptografa e inicia.

Segundo traz a Kaspersky, os hackers exploram a vontade das pessoas de terem um WhatsApp diferenciado. Ou seja, os usuários buscam um mod de WhatsApp capaz de, entre outras coisas, enviar arquivos maiores, contendo temas animados personalizados, com opção de ocultar certas conversas da lista principal, dotado de tradução automática de mensagens, com opção de visualizar mensagens que foram apagadas pelo remetente, etc.

O FMWhatsApp é um mod do app de mensagens bem popular, apesar de estar ausente na Play Store, loja do Google, e na AppStore, da Apple. Por conta disso, ele não se vê obrigado a entregar proteções de segurança exigidas pelas principais plataformas de apps. Para que a pessoa consiga baixar o mod do WhatsApp, ela precisa recorrer a sites de terceiros – o que sempre é um risco maior de malware.

Leia mais:

A Kaspersky identificou o Triada pela primeira vez em 2016, quando a empresa considerou a ferramenta de hacking “um dos mais avançados trojans móveis que nossos analistas de malware já encontraram”. Este caso do mod FMWhatsapp é importante por ilustrar como, em um esforço para fornecer aos usuários versões “aprimoradas” de um software, os modders podem introduzir brechas de segurança.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.