14/10/22
Аналитики Лаборатории Касперского обнаружили новую версию неофициального клиента WhatsApp для Android под названием «YoWhatsApp», которая перехватывает ключи WhatsApp, позволяя злоумышленнику контролировать учетные записи пользователей.
Согласно отчету, приложение отправляет ключи доступа пользователей WhatsApp на удаленный сервер разработчика. Эти ключи можно использовать в open-source утилитах для выполнения действий от имени пользователя без оригинального клиента.
Эксперты не уточнили, использовались ли украденные ключи киберпреступниками, но заявили, что ключи могут привести к захвату учетной записи, раскрытию конфиденциальных сообщений с личными контактами и выдаче себя за близких контактов.
YoWhatsApp запрашивает разрешения доступа к SMS, которые также предоставляются встроенному в приложение трояну Triada. Он может использовать эти разрешения, чтобы зарегистрировать жертву на премиум-подписку и получить доход для распространителей.
YoWhatsApp распространяется через рекламу в загрузчике видео Snaptube. Исследователи сообщили о вредоносном приложении Snaptube, поэтому этот канал распространения вскоре будет закрыт.
.png?width=451&name=content-img(585).png)
«Лаборатория Касперского» также обнаружила вредоносный клон YoWhatsApp под названием «WhatsApp Plus», распространяемый через приложение VidMate, предположительно без ведома его авторов.
.png?width=456&name=content-img(586).png)
Triada работает незаметно для пользователя. После попадания на устройство троян находится в оперативной памяти и внедряется почти в каждый рабочий процесс. Triada распространяется через приложения, устанавливаемые пользователями из ненадежных источников. Загрузчики программ и установочные модули связаны с различными троянами, и они были добавлены в антивирусную базу «Лаборатории Касперского» под общим названием Triada.
