Популярная сторонняя модификация для WhatsApp заражает смартфоны «неубиваемым» хакерским ПО

Недоглядели

Эксперты «Лаборатории Касперского» обнаружили, что неофициальная модификация для мессенджера WhatsApp под Android заряжена троянцем, который скачивает дополнительные вредоносы.

Речь идет о популярном моде FMWhatsapp, надстройке, расширяющей базовую функциональность мессенджера. В частности, заявляется улучшенная приватность, возможность блокировки приложения паролем или PIN, дополнительные иконки emoji, дополнительные темы для чатов и так далее. Мод также выводит рекламные баннеры.

Судя по всему, именно рекламный компонент и был скомпрометирован. Это привело к тому, что c версией FMWhatsapp 16.80.0 «раздается» троян Triada, который также норовит загрузить дополнительные вредоносы.

С модом к WhatsApp раздается зловредный троян

По мнению экспертов «Лаборатории Касперского», вредонос попал в приложение вместе с SDK для рекламных модулей.

Triada и ее друзья

По данным «Лаборатории», Triada сперва собирает информацию о зараженном устройстве и отправляет ее на контрольный сервер, откуда затем приходит ссылка на скачивание дополнительных вредоносов, в частности, троянцев-загрузчиков Agent, Gapac и Helper, последний из которых устанавливает трудновыводимый троянец xHelper и откручивает невидимую пользователю рекламу. Также в списке MobOk и Subscriber — вредоносы, подписывающие пользователя на платные сервисы без его ведома, еще один — Whatreg, который собирает информацию и запрашивает код верификации для несанкционированного входа в аккаунт жертвы в WhatsApp.

Наиболее опасным и назойливым компонентом оказывается xHelper. Его почти невозможно выбить с зараженного устройства. Он способен повторно устанавливаться на смартфон даже после сброса на заводские настройки. Троянец записывает свою копию в системный раздел накопителя, который монтируется при старте системы в режиме «только для чтения». Троянец получает root-права и перемонтирует системный раздел в режим записи, а также, как отмечается в материале BleepingComputer, подменяет системную библиотеку libc.so, чтобы блокировать пользователям доступ к системному разделу.

В итоге наиболее эффективным, если не единственным способом борьбы с xHelper оказывается полная перепрошивка операционной системы.

Самая свежая версия FMWhatsapp носит индекс 17.0.0. Удалена ли из нее вредоносная начинка, неизвестно.

«Подобное наблюдалось и прежде; по сути, это классическая атака на цепочку поставок, так что единственное, в чем виноваты разработчики FMwhatsapp, это в том, что недосмотрели за содержимым рекламного SDK, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, эта история в очередной раз служит напоминанием тому, что мобильное ПО из неофициальных источников — мало чем оправданный риск».