Les utilisateurs de WhatsApp ont parfois l’impression que l’application officielle manque d’une fonctionnalité utile d’une sorte ou d’une autre, qu’il s’agisse de thèmes animés, de messages autodestructeurs qui s’effacent automatiquement, de la possibilité de masquer certaines conversations de la liste principale, de la traduction automatique des messages ou de la possibilité de consulter les messages qui ont été supprimés par l’expéditeur. C’est là que les amateurs interviennent en proposant des versions modifiées de WhatsApp qui offrent des fonctionnalités supplémentaires. Ces versions modifiées peuvent contenir des publicités, généralement sous la forme de différentes bannières affichées dans l’application. Or, nous avons découvert que le cheval de Troie Triada s’est glissé dans l’une de ces versions modifiées de la messagerie, appelée FMWhatsapp 16.80.0, avec le kit de développement logiciel (SDK) pour la publicité. Cette situation est similaire à celle d’APKPure, où le seul code malveillant intégré à l’application était un téléchargeur de charge utile.

Cheval de Troie chargé à partir du SDK publicitaire

Nous détectons la modification du cheval de Troie comme étant Trojan.AndroidOS.Triada.ef.

Comment fonctionne Triada ?

Une fois l’application lancée, le malware recueille les identifiants uniques des appareils (identifiants des appareils, identifiants des abonnés, adresses MAC) et le nom du paquet d’applications où ils sont déployés. Les informations qu’ils recueillent sont envoyées à un serveur distant pour enregistrer l’appareil. Celui-ci répond en envoyant un lien vers une charge utile que le cheval de Troie télécharge, décrypte et lance.

En analysant les statistiques des fichiers téléchargés par FMWhatsapp, nous avons identifié plusieurs types de logiciels malveillants :

  • Trojan-Downloader.AndroidOS.Agent.ic : télécharge et lance d’autres modules malveillants.
  • Trojan-Downloader.AndroidOS.Gapac.e : télécharge et lance également d’autres modules malveillants. En outre, il affiche des publicités en plein écran lorsque les utilisateurs s’y attendent le moins.
  • Trojan-Downloader.AndroidOS.Helper.a : télécharge et lance le module d’installation du cheval de Troie xHelper. Il fait également tourner des publicités invisibles en arrière-plan pour augmenter le nombre de vues qu’elles obtiennent.
  • Trojan.AndroidOS.MobOk.i : inscrit le propriétaire de l’appareil à des abonnements payants.
    Le cheval de Troie MobOk ouvre la page d’abonnement pour cliquer sur s’abonner
  • Trojan.AndroidOS.Subscriber.l : sert également à inscrire les victimes à des abonnements premium.
  • Trojan.AndroidOS.Whatreg.b : se connecte aux comptes Whatsapp sur le téléphone de la victime.

Il convient de souligner que les utilisateurs de FMWhatsapp autorisent l’application à lire leurs SMS, ce qui signifie que le cheval de Troie et tous les autres modules malveillants qu’il charge y ont également accès. Cela permet aux attaquants d’inscrire automatiquement la victime à des abonnements premium, même si un code de confirmation est nécessaire pour terminer le processus.

Nous vous déconseillons d’utiliser des modifications non officielles d’applications, en particulier des mods WhatsApp. Vous risquez de vous retrouver avec un abonnement payant non désiré, voire de perdre complètement le contrôle de votre compte, que les attaquants peuvent détourner pour l’utiliser à leurs propres fins, comme la diffusion de spams envoyés en votre nom.

Par IGOR GOLOVIN, securelist