Nueva modificación maliciosa de WhatsApp difunde el troyano Triada

México, Brasil, Rusia e Indonesia entre los países más afectados.
 
12 de octubre de 2022

Investigadores de Kaspersky descubrieron una nueva modificación maliciosa para WhatsApp llamada YoWhatsApp, la cual se ha popularizado por contar con funciones que la aplicación oficial no ofrece. Sin embargo, su objetivo es propagar el troyano móvil Triada, capaz de instalar otros troyanos, emitir suscripciones de pago e incluso, robar cuentas de WhatsApp. Más de 3,600 usuarios se han enfrentado a esta amenaza en los últimos dos meses, siendo Rusia, Brasil, México e Indonesia los países más afectados. Aunque WhatsApp es una de las aplicaciones de mensajería más populares, con millones de usuarios en el mundo, no todos están satisfechos con las funciones que ofrece. Por tanto, algunos optan por descargar modificaciones que brindan más opciones: fondos de pantalla y tipos de letras para chats personalizados, mensajes en grupos, o la posibilidad de proteger ciertas conversaciones con contraseñas. Sin embargo, éstas no siempre son seguras. Hace un año, Kaspersky descubrió otra modificación de la app de mensajería, que también propaga Triada, por lo que el descubrimiento de YoWhatsApp confirma que los estafadores siguen aprovechándose de los usuarios al crear nuevas extensiones maliciosas. Para infectar a la mayor cantidad de personas posibles, los ciberdelincuentes anuncian la actualización de YoWhatsApp en Snaptube, app de Android para bajar videos de YouTube, Facebook e Instagram. Dado que cientos de miles de usuarios en el mundo la utilizan, muchos no saben que esta modificación podría ser peligrosa. Es probable que los programadores de Snaptube tampoco sepan que los atacantes aprovechan el mecanismo de publicidad legítimo en su aplicación.

El anuncio en la popular aplicación Snaptube hace que parezca que YoWhatsApp no conlleva riesgos para los usuarios.

Asimismo, se distribuye a través de Vidmate, que además de usarse para descargar videos de YouTube, contiene una tienda no oficial de apps de Android. Aquí, los atacantes publican una versión maliciosa llamada “Whatsapp Plus”. Ya que Vidmate no es una tienda oficial, la probabilidad de que ahí circulen apps maliciosas es muy alta.

La modificación de WhatsApp que se propaga a través de la aplicación Vidmate infecta a los usuarios con el troyano Triada.

Para usar la modificación, los usuarios deben iniciar sesión en su cuenta de la app oficial. Sin embargo, junto con todas las funciones nuevas, también reciben el troyano Triada. Tras infectar a la víctima, los atacantes bajan y ejecutan cargas maliciosas en su dispositivo, además de obtener las claves de su cuenta de WhatsApp. Esto les brinda permisos necesarios para que la app funcione correctamente, así como la capacidad de robar cuentas y obtener dinero de las víctimas inscribiéndolas para suscripciones por pago.

“La publicidad en plataformas legítimas es una forma muy astuta para que los delincuentes propaguen aplicaciones maliciosas, ya que muchos usuarios creen que, si la app que están usando es segura, cualquier publicidad en ella también lo será. Sin embargo, como podemos ver, esto no siempre es así, por lo que recomendamos que los usuarios solo descarguen aplicaciones de las tiendas oficiales. No siempre contarán con la misma cantidad de funciones personalizadas, pero definitivamente serán mucho más seguras para ellos, reduciendo así la posibilidad de perder su cuenta o su dinero”, comenta Anton Kivva, investigador de seguridad de Kaspersky.

Las soluciones de Kaspersky detectan el implante malicioso como: Trojan.AndroidOS.Triada.eq y Trojan-Dropper.AndroidOS.Triada.bd.

Para mantenerse seguro, Kaspersky recomienda:

• Instalar únicamente aplicaciones de tiendas oficiales confiables.
• Verificar los permisos otorgados a las apps instaladas; algunas de ellas pueden ser muy peligrosas.
• Instalar en su smartphone un antivirus móvil confiable, como Kaspersky Internet Security para Android, que detectará y prevendrá posibles amenazas.

Obtenga más información sobre el troyano Triada en el informe completo de Securelist.

Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 240,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com