Додаток WhatsApp Plus можна використовувати для встановлення шкідливого програмного забезпечення та крадіжки інформації користувачів Android
Нова спам-кампанія рекламує фальшивий додаток WhatsApp Plus для користувачів Android. Дивно, але автору шкідливого ПЗ вдалося опублікувати коментар у блозі про кібербезпеку.[1] Дослідникам було достатньо глибше копнути, що приховує цей шкідливий додаток. Схоже, він може бути використаний для крадіжки особистої інформації.
Аналіз показав, що це нова версія ризикованого програмного забезпечення WhatsApp, яка була виявлена минулого року.[2] Кіберзагроза ідентифікована як Android/PUP.Riskware. Wtaspin. ГБ, але має деякі новинки в порівнянні з попередньою версією.
Однак метод поширення цього варіанту вірусу WhatsApp[3] досить цікаво. Користувач на ім’я Амар Шривастава написав коментар у блозі з кібербезпеки з активним посиланням для завантаження:
Зараз WhatsApp є одним з найпопулярніших додатків для обміну повідомленнями в Інтернеті, але я віддаю перевагу WhatsApp плюс завантаження для користувачів, оскільки він має багато функцій, ніж WhatsApp
Очевидно, що англійська мова не є основною мовою розробника потенційно небезпечного додатка. Однак сам додаток можна використовувати для крадіжки конфіденційної інформації, такої як номери телефонів, логіни, зображення тощо.
Встановлення підробленої програми WhatsApp і використання неіснуючих функцій
Дослідники завантажили програму за посиланням у коментарі до спаму. Після встановлення програми зловмисне програмне забезпечення показує смішну обман, який повідомляє, що програма застаріла. Підроблений WhatsApp пропонує завантажити оновлення з Google Play Store або прискорити процедуру та натиснути зелену кнопку «Завантажити» на тому ж екрані.
Звичайно, ніхто не має часу шукати програму в Магазині. Однак натискання кнопки «Завантажити» призводить до арабського веб-сайту, повного реклами. Після пропуску цих агресивних спливаючих вікон потенційні жертви повинні побачити веб-сайт, що належить розробнику на ім’я Abu, пояснює, що таке WhatsApp Plus, і пропонує його завантажити.
Опис на фальшивому сайті завантаження WhatsApp розповідає про додаткові функції, наприклад, можливість відправити більше 100 зображень контактам, змінити налаштування конфіденційності або приховати факт отримання або прочитання повідомлення. Само собою зрозуміло, що така функція недоступна.
Шкідливі функції підробленої програми для Android
Після завантаження та нібито оновлення програми користувачів просять підтвердити свій номер телефону. Потім він показує журнал змін додатка з усіма виправленнями, які встановлюються, і як тільки ви натискаєте кнопку OK, ви потрапляєте в програму WhatsApp, яка, здається, працює.
Однак, поки ви намагаєтеся поспілкуватися з друзями та скористатися перевагами функцій WhatsApp Plus, шкідливий додаток може спробувати вкрасти вашу особисту інформацію. Дослідники кажуть, що його функції нагадують шпигунське програмне забезпечення, що означає, що його можна використовувати для отримання конфіденційних даних, що може призвести до серйозних проблем, пов’язаних із конфіденційністю.
Вихідний код WhatsApp Plus схожий на попередні варіанти цього вірусу Android[4] який імітує популярний додаток для спілкування. Основна відмінність полягає в тому, що ця програма переспрямовує на арабський веб-сайт «Оновлення».
Наразі вірус WhatsApp не краде інформацію з ураженого пристрою. Однак це все ще ризикована програма, яку потрібно негайно видалити. Тим часом користувачам Android нагадують[5] дотримуватися Google Play Store, який містить менше шкідливих програм, ніж сторонні магазини.