Les utilisateurs utilisent souvent des mods tiers pour ajouter des fonctionnalités supplémentaires aux applications de messagerie populaires. Si ces mods offrent des fonctionnalités améliorées, ils peuvent également contenir des logiciels malveillants. Kaspersky a découvert un nouveau mod WhatsApp qui offre non seulement des fonctionnalités telles que la planification des messages et des options de personnalisation, mais contient également un module anti-logiciel espion malveillant.

Après la modification du manifeste du client WhatsApp, des composants suspects (services et récepteurs de diffusion) absents de la version originale sont apparus. Lorsque le téléphone était allumé et en charge, le récepteur démarrait le service et activait le module espion. L'implant malveillant envoyait alors une requête contenant les informations de l'appareil au serveur de l'attaquant. Ces données comprenaient l'identité internationale d'équipement mobile (IMEI), le numéro de téléphone, l'indicatif pays et l'indicatif réseau. De plus, toutes les 5 minutes, l'implant transmettait les coordonnées et les informations du compte de la victime, et pouvait également configurer des enregistrements micro et extraire des fichiers d'un stockage externe.

La version malveillante s'est infiltrée sur des chaînes Telegram populaires, certaines comptant jusqu'à deux millions d'abonnés. Les chercheurs de Kaspersky ont alerté Telegram du problème. Rien qu'en octobre, les systèmes de télémétrie de Kaspersky ont détecté plus de 340 000 attaques impliquant le mod. La menace est apparue récemment et a commencé à opérer à la mi-août 2023.

L'Azerbaïdjan, l'Arabie saoudite, le Yémen, la Turquie et l'Égypte sont les pays où les taux d'attaques sont les plus élevés. Bien que la tendance des attaques ait été plus marquée chez les utilisateurs arabophones et azerbaïdjanais, des individus originaires des États-Unis, de Russie, du Royaume-Uni, d'Allemagne, etc., ont également été touchés.

« On fait souvent confiance aux applications populaires, mais les escrocs profitent de cette confiance », explique Dmitry Kalinin, expert en sécurité chez Kaspersky. « La propagation de mods malveillants via des plateformes tierces populaires souligne l'importance d'utiliser des clients de messagerie instantanée officiels. Cependant, si vous avez besoin de fonctionnalités supplémentaires non disponibles dans le client d'origine, il est conseillé d'utiliser une solution de sécurité fiable avant d'installer un logiciel tiers, car elle protégera vos données. Pour garantir la protection de vos données personnelles, téléchargez toujours les applications depuis les boutiques d'applications ou les sites web officiels. »