Hemos descubierto una versión maliciosa de un popular mod de WhatsApp Messenger (una modificación no oficial de la aplicación) llamada FMWhatsApp. Este mod propaga el troyano para móviles Triada, que a su vez descarga otros troyanos y que puede desplegar anuncios publicitarios, emitir suscripciones e interceptar los mensajes SMS del usuario.
Entre enero de 2020 y agosto de 2021, detectamos este troyano en países de la región, siendo México y Brasil las naciones más afectadas con 2,474 y 2,327 detecciones, respectivamente. Entro los demás países afectados de la región se encuentran Venezuela (690), Colombia (636), Perú (362), Argentina (311), Ecuador (226) y Chile (160).
Aunque WhatsApp es una de las aplicaciones de mensajería instantánea móvil más populares, no todos los usuarios están satisfechos con sus funciones. Al buscar versiones más amigables para el usuario, algunas personas pueden caer en la tentación de instalar versiones modificadas de WhatsApp, que ofrezcan muchas más funcionalidades que la versión oficial (como la de seleccionar plantillas dinámicas o la posibilidad de leer mensajes eliminados).
En este tipo de aplicaciones, los creadores suelen publicar diversos anuncios para monetizar su trabajo. Sin embargo, también existen estafadores que se aprovechan de eso y que distribuyen códigos maliciosos por medio de estos anuncios. Un ejemplo es la versión 16.80.0 de FMWhatsapp, que incluye el troyano Triada y una de las bibliotecas de anuncios.
En esta peligrosa versión del mod FMWhatsapp, el troyano Triada actúa como mediador. Primero, recopila datos sobre el dispositivo móvil del usuario y después, cuando el propietario da la orden, descarga otros troyanos al dispositivo. Estos troyanos pueden desplegar anuncios de forma independiente, emitir suscripciones de paga al dispositivo del usuario, e incluso iniciar sesión en la cuenta de WhatsApp e interceptar los mensajes de SMS para confirmar el inicio de sesión, lo que deja a la víctima vulnerable frente a actividades ilegales a través de su teléfono.
Al ser descargado por Triada, el troyano MobOk abre una página de suscripción en una ventana invisible y hace clic por el usuario en el botón “Suscribirse”
“Con esta aplicación, es difícil que los usuarios reconozcan la potencial amenaza, porque el mod en realidad cumple con su propósito, que es el de agregar funciones adicionales. Sin embargo, hemos observado cómo los ciberdelincuentes han comenzado a propagar archivos maliciosos a través de los anuncios de dichas aplicaciones. Por ello, recomendamos usar solamente el software de mensajería descargado desde las tiendas oficiales de aplicaciones. Posiblemente estas carezcan de algunas funciones adicionales, pero no instalarán un montón de malware en su teléfono”, comenta Igor Golovin, experto en seguridad de Kaspersky.
Para mantenerse seguro, recomendamos:
- Sólo instalar aplicaciones obtenidas en tiendas oficiales y fuentes
- Recuerde comprobar los permisos que concede a las aplicaciones instaladas; algunos de ellos pueden ser muy peligroso
- Instale en su teléfono inteligente un antivirus móvil confiable, como Kaspersky Internet Security para Android. Este antivirus detectará y evitará posibles amenazas.