FMWhatsApp Mod für WhatsApp lädt Trojaner herunter

Modifizierte Version von WhatsApp: Cyberkriminelle verbreiten schädlichen Code in beliebter Mod-App.

Die Experten von Kaspersky haben kürzlich entdeckt, dass eine Version der beliebten WhatsApp-Mod FMWhatsApp einen eingebetteten Trojaner enthält. Der Trojaner mit dem Namen „Triada“ verbreitet Malware auf den Geräten der Nutzer. In unserem Beitrag erklären wir, wie es dazu kommen konnte und warum die Verwendung modifizierter Versionen von WhatsApp gefährlich ist.

Warum WhatsApp Mods verwenden?

Nicht alle Nutzer sind mit der offiziellen Version von WhatsApp zufrieden. Einige wünschen sich vielleicht Nachrichten, die sich nach einer gewissen Zeit selbst löschen, oder umgekehrt die Möglichkeit, Nachrichten einzusehen, die ein anderer Nutzer gelöscht hat. Andere wünschen sich dynamische Hintergrundbilder, und wieder andere wollen bestimmte Chats aus der allgemeinen Liste ausblenden oder Nachrichten automatisch übersetzen lassen.

Und natürlich wollen Nutzer diese Funktionen sofort haben und nicht erst dann, wenn die WhatsApp-Entwickler endlich dazu kommen, ihre Wünsche zu implementieren. Daher wenden sich einige Nutzer an die modifizierten WhatsApp-Clients, die online verfügbar und nicht schwer zu finden sind.

Die Fans von Mods lassen sich auch nicht davon abschrecken, dass WhatsApp gelegentlich gegen solche Modifikationen vorgeht oder mit der Sperrung von Konten droht.

Die Macher von WhatsApp-Mods betten – verständlicherweise – neben den von den Nutzern gewünschten Funktionen oft auch Werbung in die Mods ein. Problematisch ist jedoch die Verwendung von Werbemodulen von Drittanbietern, durch die sich bösartiger, von den Entwicklern unentdeckter Code einschleichen kann.

Triada et al. in der FMWhatsApp-Mod

Und genau das passierte mit FMWhatsApp, einer beliebten WhatsApp-Mod. In Version 16.80.0 verwenden die Entwickler ein Werbemodul eines Drittanbieters, das einen Trojaner enthält. Unsere AV-Lösung erkennt diese Malware als Trojan.AndroidOS.Triada.ef.

Eine ähnliche Situation hatten wir im Frühjahr 2021 mit dem inoffiziellen App-Store APKPure, dessen Entwickler ebenfalls ein Werbemodul aus einer nicht verifizierten Quelle verwendeten und so ihre Kreation und damit die Nutzer mit dem Triada-Trojaner infizierten (wenn auch in einer etwas anderen Version).

Wie im Fall der infizierten APKPure übernimmt der Triada-Trojaner in der gefährlichen Version der FMWhatsApp-Mod eine Zwischenfunktion. Zunächst sammelt er Daten über das Gerät des Benutzers und lädt dann, je nach den Informationen, einen anderen Trojaner herunter.

Die „Extras“ von Triada gibt es in verschiedenen Varianten – die infizierte Version von FMWhatsApp lädt verschiedene Arten von Malware auf Geräte herunter:

  • Trojan-Downloader.AndroidOS.Agent.ic; ein Trojaner, der andere bösartige Module herunterlädt und ausführt;
  • Trojan-Downloader.AndroidOS.Gapac.e; ein Trojaner, der andere schädliche Module herunterlädt und ausführt und außerdem in unerwarteten Momenten Vollbildwerbung anzeigen kann;
  • Trojan-Downloader.AndroidOS.Helper.a; ein Trojaner, der das Installationsmodul des xHelper-Trojaners herunterlädt und ausführt und unsichtbare Werbung im Hintergrund einblendet;
  • AndroidOS.MobOk.i; ein Trojaner, der sich für kostenpflichtige Abonnements anmeldet;
  • AndroidOS.Subscriber.l; ein weiterer Trojaner, der sich für kostenpflichtige Abonnements anmeldet;
  • AndroidOS.Whatreg.b; der komplexeste Trojaner in der Liste, meldet sich beim WhatsApp-Konto auf dem Telefon des Opfers an und fängt den Text der Anmeldebestätigung ab. Das Gerät kann dann zu einem Ort für verschiedene Arten von illegalen Aktivitäten werden, z. B. für die Verbreitung von Spam oder den illegalen Handel.

Unser Securelist-Beitrag befasst sich eingehender mit dem Triada-Trojaner der FMWhatsapp-Mod.

Wie Sie sich gegen solche Angriffe schützen können

Wenn Sie vorsichtig sind und Ihr Gerät sicher verwenden, können Sie Malware und andere mobile Schädlinge von Ihrem Telefon fernhalten. Generell sollten Sie diese Tipps befolgen, um Probleme zu vermeiden:

  • Vermeiden Sie die Installation von Apps aus inoffiziellen Quellen und verwenden Sie die Einstellungen Ihres Geräts, um deren Installation zu verweigern. (Falls Sie eine App installieren müssen, die nicht aus einem offiziellen Store stammt, aktivieren Sie diese Berechtigung vorübergehend und deaktivieren Sie sie dann wieder);
  • Verwenden Sie nur offizielle Messenger-Apps und laden Sie diese nur aus offiziellen App-Stores herunter – auch, wenn hier einige Funktionen fehlen mögen, bleibt Ihr Gerät immerhin virenfrei;
  • Überprüfen Sie, welche Berechtigungen Sie den installierten Apps erteilt haben – einige könnten eine echte Bedrohung darstellen;
  • Installieren Sie eine zuverlässige mobile Antiviren-App auf Ihrem Telefon, und beachten Sie deren Warnungen.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.