WhatsApp mod內含Triada木馬程式

有時候Whatsapp的用戶可能會覺得官方應用程式欠缺某些功能或卡通主題,自動銷毀訊息、從主選單隱藏對話選項等等,這正是具備額外功能的修改版本出現的原因,不過一旦這些修改版被有心人利用,隨即會成為對危害用戶的工具。

應用程式內含惡意編碼

這次Whatsapp mod的情況與之前APKPure相似,就結果而言,應用程式變成了payload downloader。而內含Triada木馬程式的Whatsapp mod版本,一旦開關應用程式,惡意程式便會收集辨識裝置的資料,例如裝置ID、登陸者ID、MAC address等等,以及他們部署的app package名稱,收集到的資料會被送到遠端伺服器對裝置進行登陸,然後會收到payload連結下載木馬程式、解密和啟動。

在分析FMWhatsapp下載的檔案數據,卡巴斯基的研究人員發現幾種類的惡意程式:

  • Trojan.AndroidOS.Subscriber.l (MD5: c3c84173a179fbd40ef9ae325a1efa15),同樣是為用戶登記付費服務。
  • Trojan.AndroidOS.Whatreg.b (MD5: 4020a94de83b273f313468a1fc34f94d),登入受害者電話的Whatsapp帳號,收集裝置和流動通訊的資料,然後傳送到C&C伺服器,伺服器會要求確定碼和其他資料去執行登入。

值得一提的是,FMWhatsapp用戶容許應用程式閱讀SMS訊息,這意味著木馬程式和其他惡意模組也同時擁有存取權,使攻擊者能替受害者登記收費服務,即使過程需要確定碼。

由此至終我們不建議使用非官方的修改版本應用程式,尤其Whatsapp mod,最終用戶可能會收到不想要的付費服務,甚至損失自己的帳號,被攻擊利用進行其他活動,例如以用戶的名字濫發電郵。

資料來源:Securelist