Cuidados com os "mods" para WhatsApp: praga persistente vem infectando celulares
Por Felipe Gugelmin • Editado por Claudio Yuge |
Um dos aplicativos de comunicação mais usados no mundo, o WhatsApp traz aos usuários diversas funcionalidades que incluem figuras temáticas, gifs e mensagens de voz que facilitam conversas e as tornam mais divertidas. No entanto, há quem sempre procure por novos recursos para o aplicativo, e esse espaço tem sido aproveitado por mods maliciosos como o FMWhatsApp, analisado recentemente pela Kaspersky.
- WhatsApp deve permitir reagir a mensagens com emojis no estilo Instagram
- Golpe no WhatsApp usa Fundo Garantidor de Crédito para atrair vítimas
- Nova política de privacidade do WhatsApp terá ajustes específicos para o Brasil
O aplicativo promete expandir a experiência de uso do comunicador, trazendo novos pacotes de emoticons, chats privados e a possibilidade de destravá-lo usando um código PIN, senhas ou sistemas biométricos. Enquanto tradicionalmente tenham como tática de monetização a exibição de propagandas, no caso do FMWhatsApp os desenvolvedores decidiram introduzir o cavalo de Troia nos aparelhos que o instalam.
Assim que o aplicativo é aberto, o malware registra identificadores únicos do aparelho (identidade do dispositivo, identidades de assinatura e endereços MAC) e os envia para um servidor remoto no qual eles são registrados. A partir disso é feito o download do cavalo de Troia conhecido como Triada, capaz de iniciar a transferência de outros agentes maliciosos que exibem anúncios em segundo plano, propagandas de tela cheia e fazem inscrições em serviços pagos.
“Com esse app, é difícil para o usuário identificar a ameaça em potencial porque o aplicativo realmente faz o que propõe — ele traz recursos adicionais”, explica o especialista Igor Golovin. “No entanto, observamos como cibercriminosos iniciaram a distribuição de arquivos maliciosos através dos blocos de propaganda desses aplicativos. É por isso que recomendamos que você só use mensageiros baixados de lojas de apps oficiais”, complementa.
Ameaça de difícil remoção
Segundo a Kaspersky, o mod infectado com malwares era distribuído em sites populares dedicados à distribuição de versão modificadas do WhatsApp. A empresa de segurança informou ao Bleeping Computer que há opções semelhantes disponíveis na loja Google Play, mas elas não contêm conteúdos inseguros — geralmente elas exibem somente anúncios comuns ou trazem somente instruções de como baixar e instalar mods.
O caso do FMWhatsApp é especialmente preocupante por sua capacidade de baixar o cavalo de Troia xHelper, que é bastante difícil de remover. A ameaça consegue sobreviver fazendo cópias para a participação ocupada pelo sistema, também substituindo a biblioteca libc.so para impedir que o usuário tenha acesso completo. A forma mais comum de removê-lo é reinstalar totalmente o Android no dispositivo infectado, mas ferramentas antivírus como o Malwarebytes já conseguem removê-lo com certa facilidade.
A forma mais segura de se proteger contra mods suspeitos é evitar baixá-los em lojas que não sejam oficiais. Embora isso signifique ter que abrir mão de alguns recursos adicionais que não estão disponíveis no WhatsApp, o ganho de segurança obtido ao evitar os downloads mais do que compensa a impossibilidade de não poder acessá-los.
Fonte: Bleeping Computer, Kaspersky