Эксперты «Лаборатории Касперского» обнаружили мод для WhatsApp (принадлежит компании Meta, её деятельность признана экстремистской и запрещена в России), который содержит ранее неизвестное вредоносное ПО — троянец-шпион для Android. С 5 по 31 октября защитные решения компании предотвратили более 340 тысяч атак с его использованием в более чем ста странах мира. Наибольшее количество зафиксировано в Азербайджане, Саудовской Аравии, Йемене, Турции и Египте. Российские пользователи также столкнулись с попытками заражения.
Моды — это неофициальные дополнения, например, к мессенджерам или играм. Они позволяют расширить возможности официальных приложений. Однако под видом таких программ злоумышленники часто распространяют вредоносное ПО.
Функционал. Новая программа-троянец, которая распространяется под видом мода для WhatsApp на Android, может красть данные с заражённого смартфона: список контактов, авторизационные данные от аккаунтов, документы. Также по команде она начинает вести запись с микрофона устройства. Шпионский модуль начинает работать при включении или постановке телефона на зарядку.
Распространение. Основной источник заражённых файлов — Telegram-каналы преимущественно на арабском и азербайджанском языках, причём суммарное число подписчиков только в самых популярных из них достигает почти двух миллионов пользователей.
«Лаборатория Касперского» уведомила Telegram о наличии вредоносного ПО в обнаруженных каналах. Однако вредоносные моды распространяются также через различные сайты, где можно скачать моды для мессенджеров.
«Мы всё чаще встречаем модифицированные клиенты мессенджеров, которые содержат не только легитимные дополнительные функции, но и вредоносное ПО. Основной способ распространения таких программ — неофициальные ресурсы, где зачастую отсутствует модерация. В случае с новым модом для WhatsApp зловред также активно распространялся через Telegram-каналы», — комментирует Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского».
Более подробно о зловреде, который защитные решения «Лаборатории Касперского» детектируют как Trojan-Spy.AndroidOS.Agent.afq, можно прочитать в посте на securelist: https://securelist.ru/spyware-whatsapp-mod/108323.
Чтобы не стать жертвой троянца-шпиона, «Лаборатория Касперского» рекомендует пользователям: