Поделиться
Популярная сторонняя модификация для WhatsApp заражает смартфоны «неубиваемым» хакерским ПО
Вместе с FMWhatsapp версии 16.80.0 раздается троян Triada, который скачивает дополнительные вредоносы, в том числе «неубиваемый» xHelper.
Недоглядели
Эксперты «Лаборатории Касперского» обнаружили, что неофициальная модификация для мессенджера WhatsApp под Android заряжена троянцем, который скачивает дополнительные вредоносы.
Речь идет о популярном моде FMWhatsapp, надстройке, расширяющей базовую функциональность мессенджера. В частности, заявляется улучшенная приватность, возможность блокировки приложения паролем или PIN, дополнительные иконки emoji, дополнительные темы для чатов и так далее. Мод также выводит рекламные баннеры.
Судя по всему, именно рекламный компонент и был скомпрометирован. Это привело к тому, что c версией FMWhatsapp 16.80.0 «раздается» троян Triada, который также норовит загрузить дополнительные вредоносы.
По мнению экспертов «Лаборатории Касперского», вредонос попал в приложение вместе с SDK для рекламных модулей.
Triada и ее друзья
По данным «Лаборатории», Triada сперва собирает информацию о зараженном устройстве и отправляет ее на контрольный сервер, откуда затем приходит ссылка на скачивание дополнительных вредоносов, в частности, троянцев-загрузчиков Agent, Gapac и Helper, последний из которых устанавливает трудновыводимый троянец xHelper и откручивает невидимую пользователю рекламу. Также в списке MobOk и Subscriber — вредоносы, подписывающие пользователя на платные сервисы без его ведома, еще один — Whatreg, который собирает информацию и запрашивает код верификации для несанкционированного входа в аккаунт жертвы в WhatsApp.
Наиболее опасным и назойливым компонентом оказывается xHelper. Его почти невозможно выбить с зараженного устройства. Он способен повторно устанавливаться на смартфон даже после сброса на заводские настройки. Троянец записывает свою копию в системный раздел накопителя, который монтируется при старте системы в режиме «только для чтения». Троянец получает root-права и перемонтирует системный раздел в режим записи, а также, как отмечается в материале BleepingComputer, подменяет системную библиотеку libc.so, чтобы блокировать пользователям доступ к системному разделу.
В итоге наиболее эффективным, если не единственным способом борьбы с xHelper оказывается полная перепрошивка операционной системы.
Самая свежая версия FMWhatsapp носит индекс 17.0.0. Удалена ли из нее вредоносная начинка, неизвестно.
«Подобное наблюдалось и прежде; по сути, это классическая атака на цепочку поставок, так что единственное, в чем виноваты разработчики FMwhatsapp, это в том, что недосмотрели за содержимым рекламного SDK, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, эта история в очередной раз служит напоминанием тому, что мобильное ПО из неофициальных источников — мало чем оправданный риск».
Поделиться
Короткая ссылка
