Een andere WhatsApp-modificatie, bekend als YoWhatsApp, is schadelijk gebleken: het downloadt de Triada-trojan naar smartphones, die advertenties toont, de gebruiker stiekem abonneert op betaalde content en WhatsApp-accounts steelt. Hoe is de gebeurd en welke les kunnen we hieruit trekken?
Voerkrokodillen nooit uit de hand, of simpele cybersecurity-regels
Waarschijnlijk de belangrijkste regel van informatiebeveiliging is simpelweg het beperken van de risico’s. Om dat te doen:
- Ga niet naar verdachte websites — ze kunnen schadelijke advertenties bevatten of een dekmantel zijn voor phishing.
- Download geen gehackte versies van programma’s via torrents. Als u dit wel doet, is de kans vrij groot dat de cracks bijvoorbeeld een wachtwoord-stelende trojan
- Klik niet op links in e-mails die afkomstig zijn van onbekende adressen, en open geen bijlages, want er kan allerlei malware op de loer liggen.
U ziet het al: door voorzichtig te zijn, beschermt u zichzelf al in hoge mate tegen cyberdreigingen.
Tegelijkertijd is het nog steeds belangrijk om uw antivirusprogramma ingeschakeld en bijgewerkt te houden, voor het geval het tóch nog misgaat. Tart het lot niet door de hierboven beschreven onbezonnen dingen te doen. Met een beetje gezond verstand kunt u de kans dat u ten prooi valt aan oplichters aanzienlijk verkleinen.
Naast de hierboven genoemde manieren om het risico dat er iets ergs gebeurt te beperken, is het de moeite waard om er nog een aan toe te voegen: download geen mobiele apps van onofficiële bronnen. Google en Apple controleren apps voordat ze deze toevoegen aan hun winkels, dus de kans om daar malware tegen te komen is klein – zij het nog steeds niet nul (vooral in het geval van Google Play. Huawei doet hetzelfde met hun Huawei AppGallery-winkel, hoewel ook daar al malware is aangetroffen. Maar het is veel waarschijnlijker dat u malware tegenkomt op open platforms waar u gewoon een APK-bestand kunt downloaden.
Er is nog een belangrijke beveiligingsregel: gebruik geen onofficiële clients voor berichten-apps. Om te begrijpen waarom dit belangrijk is, nemen we een paar stappen terug en kijken we wat beter naar hoe berichten-apps eigenlijk werken.
De meeste daarvan werken volgens het client-server-model, waarbij de gebruiker rechtstreeks met de client-app communiceert. De gegevensuitwisseling tussen client en server verloopt via een speciaal protocol. Voor veel berichten-apps geldt dat dit een open protocol is. Dit maakt het mogelijk om onofficiële aangepaste clients te maken met extra functies, zoals het bekijken van berichten die andere gebruikers hebben verwijderd, het maken van massamailings, het aanpassen van de interface, enzovoort.
Waar schuilt nou het gevaar? Met officiële clients vertrouwt u uw correspondentie alleen toe aan de maker van de berichten-app. Als u een onofficiële client gebruikt, vertrouwt u het niet alleen toe aan de ontwikkelaars van het berichtensysteem, maar ook aan de ontwikkelaars van de onofficiële client-app. Bovendien kan de gewijzigde client worden verspreid via onofficiële bronnen (die zoals we net al zagen niet te vertrouwen zijn). Dit zijn allemaal extra stadia waarin iets mis kan gaan. Met andere woorden: er zijn extra risico’s.
What’s up, Triada
Natuurlijk ging er iets mis en herhaalde zich het scenario waar we vorig jaar al over schreven. Een terugblik: destijds infecteerden aanvallers de FMWhatsapp-mod met een dropper die de multifunctionele trojan Triada op de apparaten van gebruikers downloadde. Deze modulaire trojan toont voornamelijk advertenties en meldt de gebruiker aan voor betaalde content.
Nu is praktisch hetzelfde gebeurd, met dezelfde berichten-app maar een andere onofficiële client. Dit keer werd de YoWhatsApp-mod, ook wel bekend als YoWA, geïnfecteerd. Deze mod trekt gebruikers dankzij de uitgebreide privacy-opties, de mogelijkheid om bestanden tot 700 MB over te dragen, verhoogde snelheid, enzovoort.
Blijkbaar viel YoWhatsApp op bij de distributeurs van malware omdat de app een aanzienlijk aantal gebruikers heeft. Ook het feit dat de mod niet was toegestaan op Google Play speelde de criminelen in de kaart. Hierdoor zijn gebruikers gewend om YoWhatsApp te downloaden van bronnen met een verschillende mate van betrouwbaarheid. Een van de belangrijkste distributiekanalen voor de geïnfecteerde versie van de mod was een advertentie op SnapTube, een app voor het downloaden van video en audio. De eigenaars van SnapTube zelf vermoedden waarschijnlijk niet eens dat een van hun reclamecampagnes malware verspreidde.
Samen met de geïnfecteerde YoWhatsApp kregen gebruikers een dropper die de Triada-trojan op hun apparaat afleverde. In tegenstelling tot de campagne van vorig jaar, was de dropper dit keer niet het enige dat bij de trojan zat. Aan YoWhatsApp is een extra functie toegevoegd waarmee indringers de sleutels kunnen stelen die nodig zijn om WhatsApp te laten werken. Deze sleutels zijn voldoende om een account te kapen en te gebruiken voor zaken als het verspreiden van malware of het afsnoepen van geld van de contacten van het slachtoffer.
Hierdoor verliezen gebruikers niet alleen geld (omdat Triada hen inschrijft voor betaalde abonnementen) maar lopen ze ook het risico hun contacten in gevaar te brengen, die de criminelen zogenaamd in naam van de gebruiker aan kunnen schrijven.
Hoe u zich tegen malware op Android beschermt
De beste manier om malware te bestrijden is situaties te vermijden waarin u die in eerste instantie binnen zou kunnen krijgen. In dit geval zijn er drie eenvoudige regels die u moet volgen om uzelf te beschermen:
- Download geen apps van onbekende bronnen. Het is zelfs een goed idee om de mogelijkheid om apps te installeren van andere plaatsen dan Google Play op uw Android-smartphone te blokkeren.
- Installeer geen alternatieve clients voor berichten-apps. Ook al zijn officiële versies van apps niet altijd ideaal, ze zijn veel betrouwbaarder en veiliger.
- Maak gebruik van goede bescherming en schakel deze nooit uit Kaspersky for Android kan verschillende modificaties van de Triada-trojan en andere Android-malware detecteren én blokkeren voordat deze de kans krijgen een ravage aan te richten. Houd er rekening mee dat u met de gratis versie van onze mobiele bescherming elke keer dat u iets nieuws downloadt of installeert de scan handmatig moet uitvoeren. De volledige versie scant elke nieuwe app automatisch.