El mod FMWhatsApp para WhatsApp descarga troyanos

Una versión popular del mod FMWhatsApp para WhatsApp utiliza un módulo publicitario infectado que descarga troyanos a los smartphones.

Recientemente descubrimos que una versión del mod popular para WhatsApp, FMWhatsApp, incluye un troyano incrustado. El troyano llamado Triada descarga otro malware en los dispositivos de los usuarios. Te decimos cómo sucedió y por qué utilizar versiones modificadas de WhatsApp es peligroso.

¿Por qué utilizar versiones modificadas de WhatsApp?

No todos los usuarios están conformes con la aplicación oficial de WhatsApp. Algunos podrían pensar que necesitan mensajes que se autodestruyan o, por el contrario, la capacidad de visualizar mensajes que otro usuario haya eliminado. Otros buscan temas dinámicos, mientras que algunos más quieren ocultar ciertas conversaciones de la lista general o traducir mensajes de manera automática.

Como es natural, quieren estas características de inmediato, no cuando los desarrolladores de WhatsApp finalmente decidan implementarlas. Como resultado, algunos usuarios recurren a los clientes modificados de WhatsApp disponibles en línea, que son varios y fáciles de encontrar.

A los fanáticos de los mods no los detiene ni siquiera las ocasionales medidas enérgicas de WhatsApp respecto a estas modificaciones o la amenaza de que se inhabilite su cuenta.

Los creadores de mods de WhatsApp con frecuencia incrustan anuncios en estos mods, lo que es entendible, junto con las funciones que los usuarios están buscando.  Sin embargo, surgen problemas debido a su uso de módulos ad de terceros mediante los cuales código malicioso puede colarse por debajo de las narices de los desarrolladores.

Triada et. al. en el mod FMWhatsApp

Esto es precisamente lo que sucedió con FMWhatsApp, un mod popular de WhatsApp. En la versión 16.80.0, los desarrolladores utilizaron el módulo publicitario de terceros que incluye un troyano. Nuestra solución antivirus para móvil detecta este malware como Trojan.AndroidOS.Triada.ef.

Vimos una situación similar en la primavera del 2021 con la tienda de aplicaciones no oficial, APKPure, cuyos desarrolladores también utilizaron un módulo publicitario de una fuente no verificada y con esto infectaron su creación, y en consecuencia a los usuarios, con el troyano Triada. (aunque fuera un versión un poco diferente).

Como en el caso de APKPure infectada, el troyano Triada en la versión peligrosa del mod FMWhatsApp realiza una función de intermediario. En primer lugar, recopila datos sobre el dispositivo del usuario, y después, dependiendo de la información, descarga otro troyano.

Los “extras” de Triada vienen en una amplia gama; la versión infectada de FMWhatsApp descarga varios tipos de malware a los dispositivos:

  • Trojan-Downloader.AndroidOS.Agent.ic, un troyano que descarga y ejecuta otros módulos maliciosos.
  • Trojan-Downloader.AndroidOS.Gapac.e, el cual descarga y ejecuta otros módulos maliciosos y también puede mostrar anuncios en pantalla completa en momentos inesperados.
  • Trojan-Downloader.AndroidOS.Helper.a, el cual descarga y ejecuta el módulo instalador del troyano xHelper y ejecuta anuncios invisibles en segundo plano.
  • AndroidOS.MobOk.i, un troyano que compra suscripciones.
  • AndroidOS.Subscriber.l, otro troyano que compra suscripciones.
  • AndroidOS.Whatreg.b, el troyano más complejo de la lista, inicia sesión en la cuenta de WhatsApp en el teléfono de la víctima, e intercepta el texto de confirmación de inicio de sesión. Entonces, el dispositivo puede convertirse en un sitio para varios tipos de actividad ilegal como distribución de spam o comercio ilegal.

Nuestra publicación de Securelist indaga aún más en el troyano Triada del mod FMWhatsApp.

Cómo protegerte contra estos ataques

Ser precavido y utilizar tu dispositivo de manera segura es clave para alejar el malware y otros cosas desagradables de tu teléfono. En términos generales, sigue estos consejos para evitar problemas:

  • Evita instalar aplicaciones de fuentes no oficiales y utiliza los ajustes de tu dispositivo para denegar permiso para instalarlas. (Si necesitas instalar una aplicación que no sea de una tienda oficial, activa de manera temporal ese permiso y después desactívalo otra vez).
  • Utiliza solo aplicaciones de mensajería oficiales, y descárgalas solo de tiendas de aplicaciones oficiales, tal vez no tengan todas las funciones, pero no inundarán tu teléfono con virus.
  • Verifica qué permisos has dado a las aplicaciones instaladas, algunos podrían representar una amenaza real.
  • Instala una aplicación de antivirus para móvil de confianza en tu teléfono, y escucha sus advertencias.

Consejos