Die Experten von Kaspersky haben eine schädliche Version eines beliebten WhatsApp-Messenger-Mods, einer inoffiziellen Modifikation der App, entdeckt. Der Mod ‚FMWhatsapp‘ verbreitet den Triada-Mobil-Trojaner, der weitere Trojaner herunterladen, Werbung anzeigen, Abonnements abschließen sowie SMS des betroffenen Nutzers abfangen kann.

WhatsApp zählt mit rund zwei Milliarden Nutzern weltweit [2] zu den beliebtesten Instant Messengern, allerdings sind nicht alle Nutzer mit den zur Verfügung stehenden Funktionen zufrieden. Anwender sind daher manchmal auf der Suche nach benutzerfreundlicheren und modifizierten Versionen, die mehr Optionen als die offizielle Version bieten – wie beispielsweise die Auswahl dynamischer Vorlagen oder die Möglichkeit, gelöschte Nachrichten zu lesen.

Solche Apps finanzieren sich darüber, dass die Entwickler Anzeigen innerhalb der Anwendungen zulassen. Dies machen sich jedoch auch Betrüger zunutze, indem sie über die geschalteten Werbeanzeigen Schadcode verbreiten. Ein solches Beispiel entdeckten die Kaspersky-Experten nun in der 16.80.0-Version von FMWhatsapp. Der Mod enthält den Triada-Trojaner [3] sowie eine Werbebibliothek.

Der Triada-Trojaner dient dabei als eine Art Vermittler. Er sammelt zunächst Daten über das Gerät des Nutzers und lädt dann auf Befehl weitere Trojaner auf das Smartphone herunter. Diese können dann unabhängig voneinander Werbung anzeigen, auf den Namen des Besitzers des Smartphones kostenpflichtige Abonnements abschließen oder sich sogar in das WhatsApp-Konto einloggen, indem sie die SMS mit dem Bestätigungscode des Logins abfangen. Damit wird das Opfer anfällig für illegale Aktivitäten, die über sein Telefon abgewickelt werden. Kaspersky-Lösungen erkennen den schädlichen Code als Trojan.AndroidOS.Triada.ef.

„Bei dieser App ist es für die Anwender schwierig, die potenzielle Bedrohung zu erkennen, da die Mod-Anwendung tatsächlich das tut, was sie verspricht: sie bietet zusätzliche Funktionen“, kommentiert Igor Golovin, Sicherheitsexperte bei Kaspersky. „Wir haben jedoch beobachtet, dass Cyberkriminelle damit begonnen haben, schädliche Dateien über die Werbeblöcke in solchen Apps zu verbreiten. Deshalb empfehlen wir, nur Messenger-Apps zu verwenden, die aus offiziellen App-Stores heruntergeladen wurden. Diese mögen zwar einige zusätzliche Funktionen nicht bieten, aber sie werden auch keine Malware auf dem Smartphone installieren“.

Kaspersky-Tipps zum Schutz vor schädlichen Apps und deren Modifikationen

  • Anwendungen nur aus offiziellen Stores und zuverlässigen Quellen herunterladen.
  • Überprüfen, welche Berechtigungen die installierten Anwendungen anfragen und welche man erteilen möchte.
  • Eine zuverlässige Sicherheitslösung für mobile Geräte wie Kaspersky Internet Security for Android [4] verwenden, die Bedrohungen erkennt und blockiert.

Weitere Informationen zum Triada-Trojaner im FMWhatsapp-Mod sind verfügbar unter https://securelist.com/triada-trojan-in-whatsapp-mod/103679/

[1] https://securelist.com/triada-trojan-in-whatsapp-mod/103679/

[2] https://de.statista.com/statistik/daten/studie/285230/umfrage/aktive-nutzer-von-whatsapp-weltweit/

[3] https://securelist.com/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/74032 /

[4] https://www.kaspersky.de/android-security

Nützliche Links:


Modifizierte Version von WhatsApp: Cyberkriminelle verbreiten schädlichen Code in beliebter Mod-App

Die Experten von Kaspersky haben eine schädliche Version eines beliebten WhatsApp-Messenger-Mods, einer inoffiziellen Modifikation der App, entdeckt.
Kaspersky Logo