A Kaspersky több mint 340 000 támadást észlelt egy új, rosszindulatú WhatsApp moddal

A felhasználók gyakran használnak harmadik féltől származó modokat, hogy további funkciókat adjanak a népszerű üzenetküldő alkalmazásokhoz. Bár ezek a modok továbbfejlesztett funkciókat kínálnak, potenciális kártevőket is tartalmazhatnak. A Kaspersky felfedezett egy új WhatsApp modot, amely nemcsak olyan funkciókat kínál, mint az üzenetek ütemezése és a testreszabási lehetőségek, hanem egy rosszindulatú kémprogram-modult is tartalmaz.

A módosított WhatsApp kliens manifeszt után gyanús komponensek (szolgáltatások és műsorszóró vevők) jelentek meg, amelyek az eredeti verzióban nem voltak jelen. Amikor a telefon be volt kapcsolva és töltési módban volt, a vevő elindította a szolgáltatást és aktiválta a kémmodult. Ennek megfelelően a rosszindulatú implantátum egy eszközadatokat tartalmazó kérést küldött a támadó szerverének. Ezek az adatok tartalmazták a nemzetközi mobileszköz-azonosítót (IMEI), a telefonszámot, az országkódot és a hálózati kódot. Ezenkívül 5 percenként továbbították az áldozat elérhetőségi és fiókadatait, és mikrofonfelvételeket tudtak beállítani, valamint fájlokat tudtak kinyerni a külső tárolóról.

A rosszindulatú verzió népszerű Telegram-csatornákon keresztül jutott el, amelyek közül néhánynak akár kétmillió feliratkozója is van. A Kaspersky kutatói figyelmeztették a Telegramot a problémára. Csak októberben a Kaspersky telemetriai rendszerei több mint 340 000, a moddal kapcsolatos támadást észleltek. A fenyegetés nemrég jelent meg, és 2023 augusztusának közepén vált aktívvá.

Azerbajdzsán, Szaúd-Arábia, Jemen, Törökország és Egyiptom voltak a legmagasabb támadási arányú országok. Bár a támadások az arab és azerbajdzsáni nyelven beszélő felhasználók felé torzultak, az Egyesült Államokból, Oroszországból, az Egyesült Királyságból, Németországból stb. származó személyeket is érintették.

„Az emberek gyakran megbíznak a népszerű forrásokból származó alkalmazásokban, de a csalók kihasználják ezt a bizalmat. A rosszindulatú modok terjedése a népszerű harmadik féltől származó platformokon keresztül hangsúlyozza a hivatalos azonnali üzenetküldő (IM) kliensek használatának fontosságát. Ha azonban további funkciókra van szüksége, amelyek nem érhetők el az eredeti kliensben, érdemes egy megbízható biztonsági megoldást használnia, mielőtt harmadik féltől származó szoftvert telepítene, mivel ez megvédi adatait a biztonsági résektől. Személyes adatainak védelme érdekében mindig hivatalos alkalmazásboltokból vagy weboldalakról töltsön le alkalmazásokat” – mondta Dmitrij Kalinyin, a Kaspersky biztonsági szakértője.