Die Experten von Kaspersky haben eine schädliche Version eines beliebten WhatsApp-Messenger-Mods, einer inoffiziellen Modifikation der App, entdeckt. Der Mod ‚FMWhatsapp‘ verbreitet den Triada-Mobil-Trojaner, der weitere Trojaner herunterladen, Werbung anzeigen, Abonnements abschließen sowie SMS des betroffenen Nutzers abfangen kann.
WhatsApp zählt mit rund zwei Milliarden Nutzern weltweit [2] zu den beliebtesten Instant Messengern, allerdings sind nicht alle Nutzer mit den zur Verfügung stehenden Funktionen zufrieden. Anwender sind daher manchmal auf der Suche nach benutzerfreundlicheren und modifizierten Versionen, die mehr Optionen als die offizielle Version bieten – wie beispielsweise die Auswahl dynamischer Vorlagen oder die Möglichkeit, gelöschte Nachrichten zu lesen.
Solche Apps finanzieren sich darüber, dass die Entwickler Anzeigen innerhalb der Anwendungen zulassen. Dies machen sich jedoch auch Betrüger zunutze, indem sie über die geschalteten Werbeanzeigen Schadcode verbreiten. Ein solches Beispiel entdeckten die Kaspersky-Experten nun in der 16.80.0-Version von FMWhatsapp. Der Mod enthält den Triada-Trojaner [3] sowie eine Werbebibliothek.
Der Triada-Trojaner dient dabei als eine Art Vermittler. Er sammelt zunächst Daten über das Gerät des Nutzers und lädt dann auf Befehl weitere Trojaner auf das Smartphone herunter. Diese können dann unabhängig voneinander Werbung anzeigen, auf den Namen des Besitzers des Smartphones kostenpflichtige Abonnements abschließen oder sich sogar in das WhatsApp-Konto einloggen, indem sie die SMS mit dem Bestätigungscode des Logins abfangen. Damit wird das Opfer anfällig für illegale Aktivitäten, die über sein Telefon abgewickelt werden. Kaspersky-Lösungen erkennen den schädlichen Code als Trojan.AndroidOS.Triada.ef.
„Bei dieser App ist es für die Anwender schwierig, die potenzielle Bedrohung zu erkennen, da die Mod-Anwendung tatsächlich das tut, was sie verspricht: sie bietet zusätzliche Funktionen“, kommentiert Igor Golovin, Sicherheitsexperte bei Kaspersky. „Wir haben jedoch beobachtet, dass Cyberkriminelle damit begonnen haben, schädliche Dateien über die Werbeblöcke in solchen Apps zu verbreiten. Deshalb empfehlen wir, nur Messenger-Apps zu verwenden, die aus offiziellen App-Stores heruntergeladen wurden. Diese mögen zwar einige zusätzliche Funktionen nicht bieten, aber sie werden auch keine Malware auf dem Smartphone installieren“.
Weitere Informationen zum Triada-Trojaner im FMWhatsapp-Mod sind verfügbar unter https://securelist.com/triada-trojan-in-whatsapp-mod/103679/
[1] https://securelist.com/triada-trojan-in-whatsapp-mod/103679/
[2] https://de.statista.com/statistik/daten/studie/285230/umfrage/aktive-nutzer-von-whatsapp-weltweit/
[3] https://securelist.com/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/74032 /
[4] https://www.kaspersky.de/android-security