Cuidados com os "mods" para WhatsApp: praga persistente vem infectando celulares

Cuidados com os "mods" para WhatsApp: praga persistente vem infectando celulares

Por Felipe Gugelmin | Editado por Claudio Yuge | 25 de Agosto de 2021 às 14h30
Divulgação/Oliver Graumnitz/Pixabay

Um dos aplicativos de comunicação mais usados no mundo, o WhatsApp traz aos usuários diversas funcionalidades que incluem figuras temáticas, gifs e mensagens de voz que facilitam conversas e as tornam mais divertidas. No entanto, há quem sempre procure por novos recursos para o aplicativo, e esse espaço tem sido aproveitado por mods maliciosos como o FMWhatsApp, analisado recentemente pela Kaspersky.

O aplicativo promete expandir a experiência de uso do comunicador, trazendo novos pacotes de emoticons, chats privados e a possibilidade de destravá-lo usando um código PIN, senhas ou sistemas biométricos. Enquanto tradicionalmente tenham como tática de monetização a exibição de propagandas, no caso do FMWhatsApp os desenvolvedores decidiram introduzir o cavalo de Troia nos aparelhos que o instalam.

Assim que o aplicativo é aberto, o malware registra identificadores únicos do aparelho (identidade do dispositivo, identidades de assinatura e endereços MAC) e os envia para um servidor remoto no qual eles são registrados. A partir disso é feito o download do cavalo de Troia conhecido como Triada, capaz de iniciar a transferência de outros agentes maliciosos que exibem anúncios em segundo plano, propagandas de tela cheia e fazem inscrições em serviços pagos.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Imagem: Divulgação/Kaspersky

“Com esse app, é difícil para o usuário identificar a ameaça em potencial porque o aplicativo realmente faz o que propõe — ele traz recursos adicionais”, explica o especialista Igor Golovin. “No entanto, observamos como cibercriminosos iniciaram a distribuição de arquivos maliciosos através dos blocos de propaganda desses aplicativos. É por isso que recomendamos que você só use mensageiros baixados de lojas de apps oficiais”, complementa.

Ameaça de difícil remoção

Segundo a Kaspersky, o mod infectado com malwares era distribuído em sites populares dedicados à distribuição de versão modificadas do WhatsApp. A empresa de segurança informou ao Bleeping Computer que há opções semelhantes disponíveis na loja Google Play, mas elas não contêm conteúdos inseguros — geralmente elas exibem somente anúncios comuns ou trazem somente instruções de como baixar e instalar mods.

O caso do FMWhatsApp é especialmente preocupante por sua capacidade de baixar o cavalo de Troia xHelper, que é bastante difícil de remover. A ameaça consegue sobreviver fazendo cópias para a participação ocupada pelo sistema, também substituindo a biblioteca libc.so para impedir que o usuário tenha acesso completo. A forma mais comum de removê-lo é reinstalar totalmente o Android no dispositivo infectado, mas ferramentas antivírus como o Malwarebytes já conseguem removê-lo com certa facilidade.

A forma mais segura de se proteger contra mods suspeitos é evitar baixá-los em lojas que não sejam oficiais. Embora isso signifique ter que abrir mão de alguns recursos adicionais que não estão disponíveis no WhatsApp, o ganho de segurança obtido ao evitar os downloads mais do que compensa a impossibilidade de não poder acessá-los.

Fonte: Bleeping Computer, Kaspersky

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.