YoWhatsApp e WhatsApp Plus sono le ultime due app non ufficiali a tema WhatsApp che sono finite nel mirino dei ricercatori Kaspersky: il pericolo è legato al trojan Triada che si nasconde al loro interno ed è in grado di spiare il dispositivo che viene infettato e carpirne informazioni personali utili a rubarne dati e credenziali.
Indice degli argomenti
Mod per WhatsApp: un pericolo costante
Doveroso ricordare che non tutte le app che diffondono estensioni e funzionalità aggiuntive per WhatsApp sono malevole, ce ne sono anche di legittime e non fraudolente.
Tuttavia, per il secondo anno consecutivo, Kaspersky ha indagato su questo aspetto che coinvolge la popolare app di messaggistica istantanea e ha diffuso un nuovo report nel quale si evidenzia proprio come il trojan Triada stia ancora diffondendo la sua pericolosità, mediante le app di estensione per WhatsApp, non ufficiali.
I dettagli di YoWhatsApp
YoWhatsApp si propone sotto forma di sponsorizzazione in app largamente utilizzate e legittime come SnapTube, e promette di estendere le funzionalità classiche che già conosciamo di WhatsApp, con personalizzazione dell’interfaccia grafica o blocco di accesso a singole chat.
Tuttavia, una volta installata l’app seguendo appunto la sponsorizzazione diffusa da SnapTube, gli analisti hanno rilevato che effettua trasferimenti delle chiavi di accesso di WhatsApp verso un server remoto (sotto il controllo degli attori malevoli).
Il trasferimento di queste chiavi è un chiaro segnale di illegittimità di questa applicazione, non ci sarebbe altro senso di trasferire su un server remoto queste chiavi, se non quello di predeterminare un’azione criminale fraudolenta, ai danni degli utenti che hanno installato tale app.
Dalla sponsorizzazione di SnapTube, l’applicazione viene scaricata come singolo APK, quindi invitando gli utenti ad eseguirne l’installazione fuori dal Play Store ufficiale. Un esempio di queste pubblicità è riportato nell’immagine (di Kaspersky) seguente.
I dettagli di WhatsApp Plus
Anche WhatsApp Plus, altra app individuata da Kaspersky, sponsorizzata stavolta da Vidmate, integra lo stesso payload malevolo: Triada trojan.
Quella delle sponsorizzazioni pubblicitarie, all’interno di app largamente utilizzate e che hanno già conquistato la fiducia di un gran numero di utenti, è una tecnica in crescita nel mondo criminale informatico.
Si diffondono direttamente gli APK di installazione, in questa maniera gli attori malevoli sono liberi di inserire all’interno qualsiasi tipo di software dannoso, che non dovranno preoccuparsi in ogni caso di passare i controlli più rigidi offerti dagli store ufficiali.
Vidmate è una applicazione, legittima e ampiamente utilizzata, che offre la possibilità di scaricare video presenti sul Web. WhatsApp Plus, esattamente come fa YoWhatsApp, attrae le sue vittime con la promessa delle funzionalità aggiuntive per il colosso della messaggistica di casa Meta.
Il pericolo di un dispositivo mobile infetto con il malware Triada, in questo caso, è quello di offrire ai criminali una strada completamente in discesa per il furto degli account, che coinvolge poi anche altri attacchi secondari contro la nostra lista dei contatti, i quali riceveranno messaggi di testo, dal contenuto malevolo, ma poco sospettabile perché provenienti da fonte a loro conosciuta (il nostro account compromesso).
Come tenere WhatsApp al sicuro
Recentemente lo ha evidenziato anche Pavel Durov, fondatore di Telegram, accusando WhatsApp di essere portatore di backdoor all’interno dell’app, che forniscono una via di accesso ai nostri dati. Ripercorrendo la storia di WhatsApp notiamo che una volta all’anno circa viene scoperta una qualche vulnerabilità, poi corretta da aggiornamenti, proprio come è successo anche di recente.
“Ogni anno veniamo a conoscenza di alcuni problemi in WhatsApp che mettono a rischio tutto ciò che riguarda i dispositivi degli utenti. Il che significa che è quasi certo che esiste già una nuova falla di sicurezza. Tali problemi non sono affatto casuali: sono piantati in backdoor. Se una backdoor viene scoperta e deve essere rimossa, ne viene aggiunta un’altra”, afferma Durov nel suo canale ufficiale.
Tuttavia, Kaspersky suggerisce alcune buone pratiche di sicurezza che possiamo mettere in atto facilmente, per prevenire infezioni come quelle appena riportate.
Tra queste si evidenzia quella di diffidare dall’installazione di app extra store ufficiali, quindi con il singolo file di installazione direttamente scaricato dal Web.
Diffidare, allo stesso tempo, anche da messaggi sospetti o non attesi, anche se provenienti da mittenti che possono apparirci familiari.
