非公式のWhatsApp Androidアプリがユーザーのアカウントを盗んでいるのを発見

「YoWhatsApp」という名前の非公式の WhatsApp Android アプリケーションの新しいバージョンが、ユーザーのアカウントのアクセスキーを盗んでいることが判明しました。

YoWhatsApp は、標準の WhatsApp アプリと同じ権限を使用する完全に機能するメッセンジャーアプリであり、Snaptube や Vidmate などの一般的な Android アプリケーションの広告を通じて宣伝されます。

このアプリには、インターフェイスをカスタマイズしたり、チャットへのアクセスをブロックしたりする機能など、通常の WhatsApp にはない追加機能が含まれているため、ユーザーがインストールするのは魅力的です。

しかし、YoWhatsApp v2.22.11.75 が WhatsApp キーを奪い、攻撃者がユーザーのアカウントを制御できるようにすることが判明しました。

Table of contents

悪意のある改造された WhatsApp

YoWhatsApp キャンペーンは、 Kasperskyの脅威アナリストによって発見されました。Kaspersky の脅威アナリストは、昨年から変更された WhatsApp ビルド内に Triada トロイの木馬が隠れているケースを調査してきました。

本日公開されたレポートによると、改造されたアプリはユーザーの WhatsApp アクセスキーを開発者のリモートサーバーに送信します。

Kaspersky は、これらのキーをオープンソースユーティリティで使用して、実際のクライアントなしでユーザーとして接続してアクションを実行できると述べています。

Kaspersky は、これらの盗まれたアクセスキーが悪用されたかどうかを明らかにしていませんが、アカウントの乗っ取り、個人的な連絡先との機密通信の開示、親しい連絡先へのなりすましにつながる可能性があります。

実際の WhatsApp Android アプリと同様に、この悪意のあるアプリは、SMS へのアクセスなどのアクセス許可を要求します。これは、アプリに埋め込まれているトロイの木馬 Triada にも許可されます。

Kaspersky は、トロイの木馬がこれらの権限を悪用して、被害者が気付かないうちにプレミアムサブスクリプションに登録し、ディストリビューターに収入をもたらすことができると述べています。

Kaspersky は Snaptube に、サイバー犯罪者が広告プラットフォームを通じて悪意のあるアプリをプッシュしていることを通知したため、この配布チャネルはすぐに閉鎖する必要があります。

この悪意のあるアプリは、カスタマイズ可能なインターフェイス、個別のチャットルームブロックなど、WhatsApp クライアントでは利用できないが多くの人が望んでいるその他の機能を追加で提供します。

Kaspersky はまた、「WhatsApp Plus」という名前の YoWhatsApp クローンも発見しました。これは、おそらく作成者が知らないうちに VidMate アプリを介して拡散された、同じ悪意のある機能を特徴としています。

今月、Meta は、 100 万を超える WhatsApp アカウントを盗んだ「非公式」の WhatsApp アプリを開発したとして、HeyMods、Highlight Mobi、HeyWhatsApp などのビジネスを行っているいくつかの中国企業を訴えました。

すべての非公式の WhatsApp mod が悪意があるわけではありませんが、デバイスにマルウェアがインストールされる可能性を最小限に抑えたい場合は、それらを完全に回避することが賢明です。

この場合、悪意のある WhatsApp のバージョンを宣伝するアプリは、Google Play ストアの外で APK の形式でのみダウンロードできます。これも避けるべき慣行です。

Triada はこれらのキーを使用して、盗まれたアカウントとして悪意のあるスパムを送信し、友人や家族の小さな輪を信頼している人々を利用することができます。

したがって、ソフトウェアを宣伝したり、通常とは異なるリンクをクリックするよう求める連絡先からのダイレクトメッセージには注意してください。このようなメッセージを受信した場合は、友人や家族に直接連絡して、実際にテキストメッセージを送信したことを確認してください。