「YoWhatsApp」という名前の非公式の WhatsApp Android アプリケーションの新しいバージョンが、ユーザーのアカウントのアクセス キーを盗んでいることが判明しました。
YoWhatsApp は、標準の WhatsApp アプリと同じ権限を使用する完全に機能するメッセンジャー アプリであり、Snaptube や Vidmate などの一般的な Android アプリケーションの広告を通じて宣伝されます。
このアプリには、インターフェイスをカスタマイズしたり、チャットへのアクセスをブロックしたりする機能など、通常の WhatsApp にはない追加機能が含まれているため、ユーザーがインストールするのは魅力的です。
しかし、YoWhatsApp v2.22.11.75 が WhatsApp キーを奪い、攻撃者がユーザーのアカウントを制御できるようにすることが判明しました。
悪意のある改造された WhatsApp
YoWhatsApp キャンペーンは、 Kasperskyの脅威アナリストによって発見されました。Kaspersky の脅威アナリストは、昨年から変更された WhatsApp ビルド内に Triada トロイの木馬が隠れているケースを調査してきました。
本日公開されたレポートによると、改造されたアプリはユーザーの WhatsApp アクセス キーを開発者のリモート サーバーに送信します。
Kaspersky は、これらのキーをオープンソース ユーティリティで使用して、実際のクライアントなしでユーザーとして接続してアクションを実行できると述べています。
Kaspersky は、これらの盗まれたアクセス キーが悪用されたかどうかを明らかにしていませんが、アカウントの乗っ取り、個人的な連絡先との機密通信の開示、親しい連絡先へのなりすましにつながる可能性があります。
実際の WhatsApp Android アプリと同様に、この悪意のあるアプリは、SMS へのアクセスなどのアクセス許可を要求します。これは、アプリに埋め込まれているトロイの木馬 Triada にも許可されます。
Kaspersky は、トロイの木馬がこれらの権限を悪用して、被害者が気付かないうちにプレミアム サブスクリプションに登録し、ディストリビューターに収入をもたらすことができると述べています。
拡散キャンペーン
改造された YoWhatsApp は、最近マルバタイジングに苦しんでいる非常に人気のあるビデオ ダウンローダーである Snaptube の広告を介して宣伝されています。
Kaspersky は Snaptube に、サイバー犯罪者が広告プラットフォームを通じて悪意のあるアプリをプッシュしていることを通知したため、この配布チャネルはすぐに閉鎖する必要があります。
この悪意のあるアプリは、カスタマイズ可能なインターフェイス、個別のチャット ルーム ブロックなど、WhatsApp クライアントでは利用できないが多くの人が望んでいるその他の機能を追加で提供します。
Kaspersky はまた、「WhatsApp Plus」という名前の YoWhatsApp クローンも発見しました。これは、おそらく作成者が知らないうちに VidMate アプリを介して拡散された、同じ悪意のある機能を特徴としています。
今月、Meta は、 100 万を超える WhatsApp アカウントを盗んだ「非公式」の WhatsApp アプリを開発したとして、HeyMods、Highlight Mobi、HeyWhatsApp などのビジネスを行っているいくつかの中国企業を訴えました。
WhatsAppで安全を保つ
すべての非公式の WhatsApp mod が悪意があるわけではありませんが、デバイスにマルウェアがインストールされる可能性を最小限に抑えたい場合は、それらを完全に回避することが賢明です。
この場合、悪意のある WhatsApp のバージョンを宣伝するアプリは、Google Play ストアの外で APK の形式でのみダウンロードできます。これも避けるべき慣行です。
Triada はこれらのキーを使用して、盗まれたアカウントとして悪意のあるスパムを送信し、友人や家族の小さな輪を信頼している人々を利用することができます。
したがって、ソフトウェアを宣伝したり、通常とは異なるリンクをクリックするよう求める連絡先からのダイレクト メッセージには注意してください。このようなメッセージを受信した場合は、友人や家族に直接連絡して、実際にテキスト メッセージを送信したことを確認してください。
Comments