Kaspersky, grazie ai suoi esperti, ha scoperto una nuova versione dannosa di Whatsapp, che si sta diffondendo all’interno di un altro popolare servizio di messaggistica, Telegram. Se da un lato la modifica ha lo scopo di migliorare l’esperienza dell’utente, dall’altro raccoglie illegalmente informazioni personali dalle sue vittime. Con una portata che ha superato le 340.000 unità in un solo mese, questo malware colpisce a livello mondiale e in particolare gli utenti di lingua araba e azera.
Gli utenti ricorrono spesso a versioni modificate di terze parti per aggiungere ulteriori funzioni. Tuttavia, alcune di queste mod, pur migliorando le funzionalità, nascondono anche un malware. L’insidiosa mod di WhatsApp non solo offre funzionalità aggiuntive come messaggi programmati e opzioni personalizzabili, ma contiene anche un modulo spyware dannoso.
Il file del cliente WhatsApp modificato include componenti sospetti (un servizio e un ricevitore di trasmissione) non presenti nella versione originale. Il ricevitore avvia una funzionalità, lanciando il modulo spia quando il telefono è acceso o in carica. Una volta attivato, l’impianto dannoso invia una richiesta con informazioni sul dispositivo al server dell’aggressore. Questi dati comprendono l’IMEI, il numero di telefono, i codici del Paese e della rete e altro ancora. Trasmette anche i contatti e i dettagli dell’account della vittima ogni cinque minuti, oltre a impostare registrazioni del microfono e esfiltrare i file da una memoria esterna.
Il WhatsApp dannoso si è diffuso attraverso popolari canali Telegram, che in alcuni casi contano quasi due milioni di iscritti. La telemetria di Kaspersky ha identificato oltre 340.000 attacchi che hanno coinvolto questa mod nel solo mese di ottobre. Questa minaccia è emersa recentemente, diventando attiva a metà agosto 2023.
Esempi di canali Telegram che distribuiscono mod dannose
Azerbaigian, Arabia Saudita, Yemen, Turchia ed Egitto hanno registrato il più alto numero di attacchi.
Sebbene la maggior parte degli utenti sia di lingua araba e azera, il fenomeno interessa anche Stati Uniti, Russia, Regno Unito, Germania e altri Paesi.
I prodotti Kaspersky rilevano il Trojan con il seguente criterio Trojan-Spy.AndroidOS.CanesSPy.
“Le persone si fidano delle app provenienti da fonti molto seguite, ma i truffatori sfruttano proprio questa fiducia. La diffusione di mod dannose attraverso popolari piattaforme di terze parti evidenzia l’importanza di utilizzare client IM ufficiali. Tuttavia, se avete bisogno di alcune funzioni extra non presenti nel client originale, dovreste considerare l’impiego di una soluzione di sicurezza affidabile prima di installare software di terze parti, in modo da evitare la compromissione dei vostri dati. Per una protezione efficace, è consigliabile scaricare sempre le applicazioni da app store o siti Web ufficiali”, ha commentato Dmitry Kalinin, Security Expert di Kaspersky.
Per proteggersi da questi attacchi, gli esperti di Kaspersky consigliano:
- Usare i marketplace ufficiali: scaricare applicazioni e software da fonti ufficiali e affidabili.
- Evitare gli app store di terze parti, poiché il rischio che ospitino applicazioni dannose o compromesse è maggiore.
- Usare software di sicurezza affidabili: installare e mantenere sui propri dispositivi software antivirus e anti-malware affidabili. È necessario eseguire regolarmente una scansione dei dispositivi alla ricerca di potenziali minacce e tenere sempre aggiornato il software di sicurezza. Kaspersky Premium protegge gli utenti da minacce note e sconosciute.
- Essere sempre aggiornati e informati sulle ultime minacce informatiche, tecniche e tattiche: è bene fare sempre attenzione a richieste indesiderate, offerte sospette o domande insistenti per ottenere informazioni personali o finanziarie.
- I software di terze parti provenienti da fonti popolari sono spesso privi di garanzia. Tenete presente che tali applicazioni possono contenere impianti dannosi, ad esempio a causa di attacchi alla supply chain.
- Scaricare gratuitamente i white paper per scoprire come proteggere i propri Endpoint nel Cloud (link).
