FMWhatsApp-mod voor WhatsApp downloadt trojans

Een versie van de populaire WhatsApp-mod FMWhatsApp maakt gebruikt van een geïnfecteerde advertentiemodule die trojans op smartphones downloadt.

We hebben onlangs ontdekt dat een versie van de populaire WhatsApp-mod FMWhatsApp een embedded trojan bevat. Deze trojan, die de naam Triada draagt, downloadt andere malware op gebruikersapparaten. Hier leest u hoe dit is gebeurd en waarom het gebruik van gemodificeerde versies van WhatsApp gevaarlijk is.

Waarom WhatsApp-mods gebruiken

Niet alle gebruikers zijn even tevreden met de officiële WhatsApp-app. Sommigen hebben misschien behoefte aan zelfvernietigende berichten of, omgekeerd, de mogelijkheid om berichten te bekijken die een andere gebruiker heeft verwijderd. Anderen willen dynamische thema’s, en nog anderen willen bepaalde chats verbergen uit de algemene lijst of berichten automatisch vertalen.

Ze willen deze functies natuurlijk nu meteen, en niet wanneer de ontwikkelaars van WhatsApp ze eindelijk kunnen implementeren. Als gevolg hiervan wenden sommige gebruikers zich tot de aangepaste WhatsApp-clients die online beschikbaar zijn, en die vrij talrijk en niet moeilijk te vinden zijn.

Fans van mods laten zich zelfs niet afschrikken door het sporadische hardhandige optreden van WhatsApp tegen dit soort modificaties of door dreigementen van het blokkeren van accounts.

De makers van WhatsApp-mods voegen er (begrijpelijkerwijs) vaak advertenties aan toe, samen met de functies waar gebruikers naar op zoek zijn. Problemen ontstaan echter door het gebruik van advertentiemodules van derden, waardoor kwaadaardige code onder de radar van de ontwikkelaars kan binnensluipen.

Triada et al. in de FMWhatsApp-mod

Dat is precies wat ook is gebeurd met FMWhatsApp, een populaire WhatsApp-mod. In versie 16.80.0 gebruiken de ontwikkelaars een advertentiemodule van derden die een trojan bevat. Onze mobiele antivirusoplossing detecteert deze malware als Trojan.AndroidOS.Triada.ef.

Een soortgelijke situatie zagen we in het voorjaar van 2021 met de onofficiële app-winkel APKPure, waarvan de ontwikkelaars ook een advertentiemodule van een niet-geverifieerde bron gebruikten en zo hun creatie, en bijgevolg gebruikers, infecteerden met de Triada-trojan (al ware het een iets andere versie).

Net als in het geval van de geïnfecteerde APKPure, vervult de Triada-trojan in de gevaarlijke versie van de FMWhatsApp-mod een intermediaire functie. Hij verzamelt eerst gegevens over het gebruikersapparaat, en afhankelijk van de gevonden informatie, downloadt hij een andere trojan.

Triada’s “extra’s” zijn er in verschillende smaken, en de geïnfecteerde versie van FMWhatsApp downloadt verschillende soorten malware op apparaten:

  • Trojan-Downloader.AndroidOS.Agent.ic, een trojan die andere schadelijke modules downloadt en uitvoert;
  • Trojan-Downloader.AndroidOS.Gapac.e, die andere schadelijke modules downloadt en uitvoert en ook schermvullende advertenties kan weergeven op onverwachte momenten;
  • Trojan-Downloader.AndroidOS.Helper.a, die de installatiemodule van de xHelper-trojan downloadt en uitvoert en onzichtbare advertenties op de achtergrond uitvoert;
  • AndroidOS.MobOk.i, een trojan die u aanmeldt voor betaalde abonnementen;
  • AndroidOS.Subscriber.l, nog een trojan die u aanmeldt voor betaalde abonnementen;
  • AndroidOS.Whatreg.b, de meest complexe trojan uit de lijst, logt in op het WhatsApp-account op de telefoon van het slachtoffer door de bevestigings-sms om in te loggen te onderscheppen. Het apparaat kan dan een medium worden voor verschillende soorten illegale activiteiten, zoals de verspreiding van spam of illegale handel.

Onze Securelist-post gaat dieper in op de Triada-trojan van de FMWhatsapp-mod.

Hoe u zich tegen dit soort aanvallen beschermt

Voorzichtigheid is geboden en veilig gebruik van uw apparaat is de sleutel tot het weren van malware en andere mobiele overlast op uw telefoon. Over het algemeen kunt u deze tips volgen om problemen te voorkomen:

  • Vermijd het installeren van apps uit onofficiële bronnen en gebruik de instellingen van uw apparaat om toestemming voor het installeren ervan te weigeren. (Als u een app moet installeren die niet uit een officiële winkel komt, schakel die toestemming dan tijdelijk in en daarna weer uit);
  • Gebruik alleen officiële berichten-apps en download ze alleen van officiële app stores — ze missen misschien een aantal functies, maar zullen uw telefoon niet overspoelen met virussen;
  • Controleer welke toestemmingen je geïnstalleerde apps hebt gegeven, want sommige kunnen echt gevaarlijk zijn;
  • Installeer een betrouwbare mobiele antivirus-app op uw telefoon, en let goed op de waarschuwingen daarvan.

Tips