Nueva modificación de WhatsApp difunde el troyano Triada
Los investigadores de Kaspersky han descubierto una nueva versión maliciosa de la modificación para WhatsApp llamada YoWhatsApp, la cual se ha popularizado por contar con funciones que la aplicación oficial no ofrece. Sin embargo, el objetivo de esta modificación es propagar el troyano móvil Triada, capaz de instalar otros troyanos, emitir suscripciones pagas e incluso, robar cuentas de WhatsApp. Este nuevo mod malicioso se anuncia en la popular aplicación Snaptube y también se distribuye a través de Vidmate, lo que hace que el mod parezca ser legítimo y amplía el número posible de víctimas.
Aunque WhatsApp es una de las aplicaciones de mensajería más populares, con millones de usuarios en todo el mundo, no todos están satisfechos con las funciones que esta ofrece.
Por tanto, algunos usuarios optan por descargar modificaciones que brindan más opciones, como fondos de pantalla y tipos de letras para chats personalizados, mensajes en grupos, o la posibilidad de proteger ciertas conversaciones contraseñas.
Sin embargo, estas modificaciones no siempre son seguras. Hace un año, Kaspersky descubrió otra modificación de WhatsApp, que también propaga el peligroso troyano móvil Triada. El descubrimiento de YoWhatsApp confirma que los estafadores continúan aprovechándose de los usuarios al crear nuevas modificaciones maliciosas. Más de 3,600 usuarios se han enfrentado a esta amenaza en los últimos dos meses, siendo Rusia, Brasil, México e Indonesia los países más afectados.
Para infectar a la mayor cantidad de usuarios posibles, los ciberdelincuentes han recurrido a una nueva estrategia de distribución. Ahora anuncian la actualización de YoWhatsApp en Snaptube, la popular aplicación de Android que se usa para bajar videos de YouTube, Facebook e Instagram. Dado que es utilizada por cientos de miles de usuarios en todo el mundo, muchos de ellos no saben que esta modificación podría ser peligrosa. Es probable que los programadores de Snaptube tampoco sepan que los atacantes aprovechan el mecanismo de publicidad legítimo en su aplicación.
YoWhatsApp también se distribuye a través de Vidmate, que además de usarse para bajar videos de YouTube, contiene una tienda no oficial de apps de Android. Aquí, los atacantes publican una versión maliciosa de YoWhatsApp llamada Whatsapp Plus. Ya que Vidmate no es una tienda oficial de aplicaciones, la probabilidad de que ahí se distribuyan apps maliciosas es muy alta, y la aparición de Whatsapp Plus, que infecta a los usuarios con el troyano Trida, es un ejemplo de ello.
Para usar la modificación, los usuarios deben iniciar sesión en su cuenta de la app oficial. Sin embargo, junto con todas las funciones nuevas, los usuarios también reciben el troyano Triada. Tras infectar a la víctima, los atacantes bajan y ejecutan cargas maliciosas en su dispositivo, además de obtener las claves de su cuenta de WhatsApp. Esto les brinda permisos necesarios para que la app funcione correctamente, así como la capacidad de robar cuentas y obtener dinero de las víctimas inscribiéndolas para suscripciones por pago de las que ni siquiera son conscientes.
Las soluciones de Kaspersky detectan el implante malicioso como: Trojan.AndroidOS.Triada.eq y Trojan-Dropper.AndroidOS.Triada.bd.