“Download This application and Win Mobile Phone” este mesajul prin care utilizatorii ar putea fi păcăliți să descarce o aplicație falsă Huawei

Utilizatorii de Android trebuie să fie atenți la un nou programe malware răspândit prin intermediul WhatsApp, ce îndeamnă potențialele victime să descarce o aplicație de pe un site web care se numește Google Play. Cercetătorul nostru malware, Lukas Stefanko, a analizat în detaliu acest nou malware.

„Acest program se răspândește prin WhatsApp-ul victimei, răspunzând automat la orice notificare de mesaj WhatsApp cu un link către o aplicație Huawei Mobile falsă, malițioasă”, a spus Stefanko. Programul malware, care a fost raportat pentru prima dată de utilizatorul Twitter @ ReBensk, pare să fie destinat în principal generării de venituri publicitare frauduloase pentru operatorii săi.

Android WhatsApp Worm?

Malware spreads via victim's WhatsApp by automatically replying to any received WhatsApp message notification with a link to malicious Huawei Mobile app.
Message is sent only once per hour to the same contact.
It looks to be adware or subscription scam. https://t.co/NYbh2A9Y6M pic.twitter.com/2tFgLyG94O— Lukas Stefanko (@LukasStefanko) January 21, 2021

Pentru a instala aplicația rău intenționată, utilizatorii sunt rugați să permită instalarea aplicațiilor din alte locuri decât magazinul oficial Google Play, eliminând astfel o precauție de securitate cheie - care este, de altfel, activată în mod implicit - pe dispozitivele Android.

Odată ce procesul de instalare este finalizat, aplicația continuă să solicite o serie de permisiuni, inclusiv acces la notificări și se folosește de funcția Direct Reply de pe Android, pentru a garanta infectarea cu succes prin acest vierme informatic.

„Combinând aceste două caracteristici, malware-ul poate răspunde eficient cu un mesaj personalizat la orice mesaj de notificare WhatsApp primit”, a spus Stefanko. Malware-ul rulează apoi în fundal până când primește un răspuns de la server în timp ce așteaptă un mesaj de notificare WhatsApp care este apoi utilizat pentru a distribui link-ul rău intenționat către contactele victimei.

Aplicația rău intenționată solicită, de asemenea, alte permisiuni, printre care rularea în paralel cu alte aplicații, ceea ce îi permite să se suprapună cu orice alte aplicații deschise pe dispozitiv și să evite funcția de optimizare a bateriei. Astfel, aplicația poate rula fără întrerupere pe fundal și nu riscă să fie închisă de către dispozitiv, chiar dacă ar consuma prea mult din resursele dispozitivului.

„Viermele se răspândește către contactele WhatsApp doar atunci când ultimul mesaj primit de victimă ar fi fost trimis cu mai bine de o oră în urmă”, a explicat Stefanko. El consideră că autorii au gândit operațiunea în acest fel pentru a nu ridica suspiciuni în rândul contactelor victimei, întrucât primirea unui link ca răspuns la fiecare mesaj ar putea ridica semne de întrebare.

Un alt articol pe aceeași temă: Scam impersonates WhatsApp, offers ‘free internet’

În prezent, aplicația pare să fie utilizată în principal într-o campanie adware sau de abonare, deși ar putea fi folosită și în scopuri mai rele. „Acest malware ar putea distribui amenințări chiar mai periculoase, întrucât textul mesajului și linkul către aplicația dăunătoare vin de la serverul atacatorului. Ar putea distribui pur și simplu troieni bancari, ransomware sau spyware”, a spus Stefanko.

Pentru a vă proteja, cel mai bun mod de acțiune ar fi să evitați să dați click pe linkurile suspecte, să descărcați numai aplicații din magazinul oficial Google Play și să utilizați o soluție de securitate de încredere pe dispozitiv.