Исследователи обнаружили зараженные шпионским ПО модификации WhatsApp, которые распространялись через Telegram-каналы и cайты с модами для WhatsApp.
За последнее десятилетие приложения для мгновенного обмена сообщениями, такие как WhatsApp и Telegram, стали неотъемлемой частью жизни практически всех пользователей Интернета. Именно в них миллиарды людей теперь общаются с родными и близкими, обмениваются с друзьями смешными картинками и видео, коммуницируют с коллегами по работе, читают свежие новости и так далее. Попробуйте представить себе современную жизнь без мессенджеров — вряд ли у вас это получится. Но иногда внутри этих полезных приложений скрываются угрозы.
На помощь пользователям, которых что-то не устраивает в стандартных приложениях WhatsApp и Telegram, приходят приложения от сторонних разработчиков — их еще часто называют модификациями или, более коротко, модами мессенджеров. Таких модификаций существует огромное количество.
Конкретно в случае WhatsApp ситуацию с модами дополнительно усложняют владельцы мессенджера, не одобряющие создание модификаций и препятствующие их распространению. Для этого они, с одной стороны, время от времени — впрочем, пока без особого успеха. А с другой стороны, — и тут они более успешны — не пускают альтернативные клиенты для WhatsApp в официальные магазины приложений, Apple App Store и Google Play.
Поэтому пользователи модов WhatsApp уже давно привыкали скачивать их откуда попало. Ведь в официальных магазинах их, как правило, все равно не найдешь. Так что они смело загружают APK-файлы, включают в настройках и запускают моды на своем телефоне. Этим бесстрашием и пользуются преступники, встраивающие в модификации мессенджера зловредов.
Наши эксперты несколько таких зараженных модификаций. О них мы сегодня и расскажем.
Установленные на устройство зараженные модификации WhatsApp ожидают, пока смартфон будет включен или поставлен на зарядку, и после этого запускают шпионский модуль. Тот, в свою очередь, связывается с одним из командных серверов из списка и загружает на него различную информацию о об устройстве — например, номер телефона, IMEI устройства, код сотовой сети и так далее. Кроме того, троян-шпион раз в пять минут отправляет на сервер информацию о контактах и аккаунтах жертвы, все это время ожидая команд.
Если оставить в стороне служебные команды, возможности шпионского модуля сводятся, по большому счету, к двум функциям.
Зараженные шпионским ПО модификации WhatsApp распространялись в Telegram-каналах преимущественно на азербайджанском и арабском языках
Кроме того, зараженные шпионским модулем APK-файлы были обнаружены нашими экспертами и на тематических сайтах для загрузки модов WhatsApp.
В октябре наши защитные решения обнаружили и предотвратили более 340 000 атак этого шпиона в более чем ста странах мира. Тут следует подчеркнуть, что речь идет об атаках, которые были замечены нашей защитой. Количество всех атакованных устройств скорее всего значительно больше.
Хотя география распространения данной угрозы весьма широка, наибольшее число зарегистрированных попыток заражения приходится на Азербайджан. Он лидирует с большим отрывом. За Азербайджаном следуют несколько арабских стран — Йемен, Саудовская Аравия и Египет, а также Турция.
Топ-20 стран, в которых распространялись шпионские модификации WhatsApp
За последнее десятилетие приложения для мгновенного обмена сообщениями, такие как WhatsApp и Telegram, стали неотъемлемой частью жизни практически всех пользователей Интернета. Именно в них миллиарды людей теперь общаются с родными и близкими, обмениваются с друзьями смешными картинками и видео, коммуницируют с коллегами по работе, читают свежие новости и так далее. Попробуйте представить себе современную жизнь без мессенджеров — вряд ли у вас это получится. Но иногда внутри этих полезных приложений скрываются угрозы.
Моды WhatsApp и Telegram: что это такое и зачем они нужны
Не всем хватает стандартных функций официальных приложений WhatsApp и Telegram: кому-то нужны дополнительные возможности кастомизации интерфейса или что-то специфическое:- Скрывать чаты
- Автоматически переводить сообщения
- Просматривать удаленные собеседником сообщения.
На помощь пользователям, которых что-то не устраивает в стандартных приложениях WhatsApp и Telegram, приходят приложения от сторонних разработчиков — их еще часто называют модификациями или, более коротко, модами мессенджеров. Таких модификаций существует огромное количество.
Конкретно в случае WhatsApp ситуацию с модами дополнительно усложняют владельцы мессенджера, не одобряющие создание модификаций и препятствующие их распространению. Для этого они, с одной стороны, время от времени — впрочем, пока без особого успеха. А с другой стороны, — и тут они более успешны — не пускают альтернативные клиенты для WhatsApp в официальные магазины приложений, Apple App Store и Google Play.
Поэтому пользователи модов WhatsApp уже давно привыкали скачивать их откуда попало. Ведь в официальных магазинах их, как правило, все равно не найдешь. Так что они смело загружают APK-файлы, включают в настройках и запускают моды на своем телефоне. Этим бесстрашием и пользуются преступники, встраивающие в модификации мессенджера зловредов.
Наши эксперты несколько таких зараженных модификаций. О них мы сегодня и расскажем.
Зараженные моды WhatsApp в Telegram-каналах
Модификации WhatsAp, которые привлекли внимание наших экспертов, pанее не проявляли какой-либо вредоносной активности. Теперь же в этих модах мессенджера появился шпионский модуль — детектируют его как Trojan-Spy.AndroidOS.CanesSpy.Установленные на устройство зараженные модификации WhatsApp ожидают, пока смартфон будет включен или поставлен на зарядку, и после этого запускают шпионский модуль. Тот, в свою очередь, связывается с одним из командных серверов из списка и загружает на него различную информацию о об устройстве — например, номер телефона, IMEI устройства, код сотовой сети и так далее. Кроме того, троян-шпион раз в пять минут отправляет на сервер информацию о контактах и аккаунтах жертвы, все это время ожидая команд.
Если оставить в стороне служебные команды, возможности шпионского модуля сводятся, по большому счету, к двум функциям.
- Он умеет искать на устройстве и отправлять своим операторам файлы, содержащиеся в памяти смартфона (если быть точным, то в ее несистемной части, во «внешнем хранилище» в терминологии Android).
- Также троян умеет записывать звук со встроенного микрофона и опять-таки отправлять записи на командный сервер.
Зараженные шпионским ПО модификации WhatsApp распространялись в Telegram-каналах преимущественно на азербайджанском и арабском языках
Кроме того, зараженные шпионским модулем APK-файлы были обнаружены нашими экспертами и на тематических сайтах для загрузки модов WhatsApp.
В октябре наши защитные решения обнаружили и предотвратили более 340 000 атак этого шпиона в более чем ста странах мира. Тут следует подчеркнуть, что речь идет об атаках, которые были замечены нашей защитой. Количество всех атакованных устройств скорее всего значительно больше.
Хотя география распространения данной угрозы весьма широка, наибольшее число зарегистрированных попыток заражения приходится на Азербайджан. Он лидирует с большим отрывом. За Азербайджаном следуют несколько арабских стран — Йемен, Саудовская Аравия и Египет, а также Турция.
Топ-20 стран, в которых распространялись шпионские модификации WhatsApp
Как защититься от шпионов в мессенджерах
Это уже далеко не первый случай в 2023 году, когда в модифицированных приложениях мессенджеров находят вредоносные модули: не так давно мы уже писали . Поэтому есть все основания позаботиться о своей безопасности.- Старайтесь пользоваться официальными приложениями WhatsApp и Telegram. Как видите, в модификациях мессенджеров легко можно встретить вредоносное ПО.
- Устанавливайте приложения из официальных магазинов — Apple App Store, Google Play, Huawei AppGallery и так далее. В них тоже встречаются зловреды, но значительно реже, чем на сторонних площадках, которые чаще всего вообще никак не заботятся о безопасности.
- Перед установкой любого приложения сначала изучите его страницу в магазине и убедитесь в том, что это не подделка, — злоумышленники нередко создают клоны популярных приложений.
- Читайте отзывы пользователей о приложениях, причем особое внимание уделяйте отзывам с плохими оценками. Обычно именно в них можно найти информацию о подозрительной активности программ.
- Обязательно установите на все ваши устройства . Она вовремя обнаружит вредоносный код внутри безобидного на вид приложения и предупредит об этом.
