- México, Brasil, Rusia e Indonesia entre los países más afectados
Los investigadores de Kaspersky han descubierto una nueva versión maliciosa de la modificación para WhatsApp llamada YoWhatsApp, la cual se ha popularizado por contar con funciones que la aplicación oficial no ofrece. Sin embargo, el objetivo de esta modificación es propagar el troyano móvil Triada, capaz de instalar otros troyanos, emitir suscripciones pagas e incluso, robar cuentas de WhatsApp. Este nuevo mod malicioso se anuncia en la popular aplicación Snaptube y también se distribuye a través de Vidmate, lo que hace que el mod parezca ser legítimo y amplía el número posible de víctimas.
Aunque WhatsApp es una de las aplicaciones de mensajería más populares, con millones de usuarios en todo el mundo, no todos están satisfechos con las funciones que esta ofrece. Por tanto, algunos usuarios optan por descargar modificaciones que brindan más opciones, como fondos de pantalla y tipos de letras para chats personalizados, mensajes en grupos, o la posibilidad de proteger ciertas conversaciones contraseñas.
Sin embargo, estas modificaciones no siempre son seguras. Hace un año, Kaspersky descubrió otra modificación de WhatsApp, que también propaga el peligroso troyano móvil Triada. El descubrimiento de YoWhatsApp confirma que los estafadores continúan aprovechándose de los usuarios al crear nuevas modificaciones maliciosas. Más de 3,600 usuarios se han enfrentado a esta amenaza en los últimos dos meses, siendo Rusia, Brasil, México e Indonesia los países más afectados.
Para infectar a la mayor cantidad de usuarios posibles, los ciberdelincuentes han recurrido a una nueva estrategia de distribución. Ahora anuncian la actualización de YoWhatsApp en Snaptube, la popular aplicación de Android que se usa para bajar videos de YouTube, Facebook e Instagram. Dado que es utilizada por cientos de miles de usuarios en todo el mundo, muchos de ellos no saben que esta modificación podría ser peligrosa. Es probable que los programadores de Snaptube tampoco sepan que los atacantes aprovechan el mecanismo de publicidad legítimo en su aplicación.
El anuncio en la popular aplicación Snaptube hace que parezca que YoWhatsApp no conlleva riesgos para los usuarios.
YoWhatsApp también se distribuye a través de Vidmate, que además de usarse para bajar videos de YouTube, contiene una tienda no oficial de apps de Android. Aquí, los atacantes publican una versión maliciosa de YoWhatsApp llamada “Whatsapp Plus”. Ya que Vidmate no es una tienda oficial de aplicaciones, la probabilidad de que ahí se distribuyan apps maliciosas es muy alta, y la aparición de Whatsapp Plus, que infecta a los usuarios con el troyano Trida, es un ejemplo de ello.
La modificación de WhatsApp que se propaga a través de la aplicación Vidmate infecta a los usuarios con el troyano Triada
Para usar la modificación, los usuarios deben iniciar sesión en su cuenta de la app oficial. Sin embargo, junto con todas las funciones nuevas, los usuarios también reciben el troyano Triada. Tras infectar a la víctima, los atacantes bajan y ejecutan cargas maliciosas en su dispositivo, además de obtener las claves de su cuenta de WhatsApp. Esto les brinda permisos necesarios para que la app funcione correctamente, así como la capacidad de robar cuentas y obtener dinero de las víctimas inscribiéndolas para suscripciones por pago de las que ni siquiera son conscientes.
“La publicidad en plataformas legítimas es una forma muy astuta para que los delincuentes propaguen aplicaciones maliciosas, ya que muchos usuarios creen que, si la app que están usando es segura, cualquier publicidad en ella también lo será. Sin embargo, como podemos ver, esto no siempre es así, por lo que recomendamos que los usuarios solo descarguen aplicaciones de las tiendas oficiales. No siempre contarán con la misma gran cantidad de funciones personalizadas, pero definitivamente serán mucho más seguras para ellos, reduciendo así la posibilidad de perder su cuenta o su dinero”, comenta Anton Kivva, investigador de seguridad de Kaspersky.
Las soluciones de Kaspersky detectan el implante malicioso como: Trojan.AndroidOS.Triada.eq y Trojan-Dropper.AndroidOS.Triada.bd.
Para mantenerse seguro, Kaspersky recomienda:
- Instalar únicamente aplicaciones de tiendas oficiales confiables.
- Verificar los permisos otorgados a las aplicaciones instaladas; algunas de ellas pueden ser muy peligrosas.
- Instalar en su smartphone un antivirus móvil confiable, como Kaspersky Internet Security para Android, que detectará y prevendrá posibles amenazas.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |