Mods de WhatsApp con spyware

Nuestros investigadores descubrieron modificaciones de WhatsApp infectadas con spyware distribuidas a través de canales de Telegram y sitios web de mods de WhatsApp.

Durante la última década, las aplicaciones de mensajería como WhatsApp y Telegram se han convertido en una parte integral de la vida de casi todos los usuarios de Internet. Miles de millones de personas los usan para chatear con sus seres queridos, compartir fotos y vídeos divertidos con amigos, comunicarse con compañeros de trabajo, ponerse al día con las noticias, etc. Intenta imaginar la vida moderna sin servicios de mensajería instantánea. Difícil, ¿no? Desafortunadamente, estas aplicaciones indispensables a veces contienen amenazas ocultas.

Mods de WhatsApp y Telegram: qué y por qué

Algunas personas piensan que las aplicaciones oficiales de WhatsApp y Telegram carecen de funcionalidad, ya sean opciones adicionales para personalizar la interfaz o algo más específico; por ejemplo, la capacidad de ocultar chats, traducir mensajes automáticamente o ver los mensajes eliminados por los partners del chat. Y la lista de funciones “faltantes” es muy larga.

Los desarrolladores externos crean modificaciones o mods de las aplicaciones estándar de WhatsApp y Telegram para satisfacer incluso las necesidades más peculiares de los usuarios, y existen muchísimos mods.

El problema de instalar cualquiera de ellos es que el usuario debe confiar su correspondencia no solo a los desarrolladores del servicio de mensajería instantánea original sino también a los desarrolladores de mods, que pueden ocultar fácilmente módulos maliciosos en ellos. Los distribuidores de mods también pueden añadir algo propio.

En el caso de WhatsApp, la situación con los mods se complica aún más por parte de sus propietarios. No aprueban las modificaciones y, por lo tanto, dificultan su distribución. De vez en cuando, los propietarios de WhatsApp intentan prohibir a las personas el uso de mods, aunque hasta ahora no han tenido éxito. Sin embargo, sí han tenido cierto éxito al prohibir clientes alternativos para WhatsApp en las tiendas oficiales como Google Play y App Store.

Como consecuencia, los usuarios de mods de WhatsApp están acostumbrados a descargarlos desde casi cualquier lugar. Se descargan audazmente los archivos APK, se cambia la configuración para permitir la instalación desde fuentes desconocidas y, a continuación, se ejecutan los mods en los teléfonos. Y los ciberdelincuentes aprovechan este descuido incorporando malware en los mods.

Nuestros expertos han encontrado recientemente varios de estos mods infectados, que veremos en esta publicación.

Mods de WhatsApp infectados en Telegram

Los mods de WhatsApp que llamaron la atención de nuestros expertos no habían mostrado previamente ninguna actividad maliciosa. Ahora, sin embargo, contienen un módulo espía que nuestras soluciones de seguridad detectan como Trojan-Spy.AndroidOS.CanesSpy.

Después de la instalación en el teléfono inteligente de la víctima, un mod de WhatsApp infectado espera a que el teléfono se encienda o se cargue antes de iniciar el módulo de espionaje. Se contacta con uno de los servidores C2 de la lista respectiva y le carga información diversa sobre el dispositivo, como el número de teléfono, el número de IMEI, el código de red móvil, etc. Además, el troyano espía envía información sobre los contactos y las cuentas de la víctima al servidor cada cinco minutos, mientras espera comandos.

Dejando de lado los comandos de servicio, las capacidades del módulo de espionaje se reducen esencialmente a dos funciones:

  • Buscar en el dispositivo y enviar a sus operadores los archivos contenidos en la memoria del teléfono inteligente (para ser precisos, en su parte no perteneciente al sistema, o “almacenamiento externo” en la terminología de Android)
  • Grabar el sonido desde el micrófono integrado y, como antes, enviar las grabaciones a C2

En cuanto a cómo se distribuyó el spyware, se encontraron modificaciones de WhatsApp infectadas en varios canales de Telegram árabes y azerbaiyanos con los nombres de mods populares: GBWhatsApp, WhatsApp Plus y AZE PLUS, una versión de WhatsApp Plus con la interfaz traducida al azerí.

Mods de WhatsApp infectados en canales de Telegram.

Los mods de WhatsApp infectados con spyware se distribuyeron principalmente en los canales de Telegram azerbaiyanos y árabes.

Además, nuestros expertos descubrieron archivos APK infectados con el módulo de espionaje en los sitios web de descarga de mods de WhatsApp.

En octubre, nuestras soluciones de seguridad detectaron y evitaron más de 340 000 ataques de este spyware en más de 100 países. Ten en cuenta que estamos hablando de ataques interceptados por nuestras soluciones. La cantidad total (teniendo en cuenta los teléfonos en los que no están instaladas nuestras soluciones) es probablemente mucho mayor.

Aunque la propagación geográfica de la amenaza es extensa, la mayor cantidad de intentos de infección (por un amplio margen) se registró en Azerbaiyán, seguido de varios países árabes: Yemen, Arabia Saudita y Egipto, así como Turquía.

Geografía de los intentos de infección por Trojan-Spy.AndroidOS.CanesSpy.

Los 20 principales países donde se distribuyeron los mods de espionaje de WhatsApp.

Cómo protegerte contra el spyware en los servicios de mensajería instantánea

Este no es el primer caso en 2023 de módulos maliciosos que se encuentran en aplicaciones de servicio de mensajería instantánea modificadas. Hace unos meses, escribimos sobre una serie de mods infectados para Telegram, WhatsApp e incluso el servicio de mensajería instantánea seguro Signal. Por lo tanto, hay muchas razones para permanecer alerta:

  • Usa solo las aplicaciones oficiales de WhatsApp y Telegram. Como hemos visto, los mods de servicios de mensajería instantánea son propensos al malware.
  • Instala aplicaciones solo de tiendas oficiales: App Store de Apple, Google Play, Huawei AppGallery y similares. Estas no son inmunes al malware, pero siguen siendo mucho más seguras que los sitios web de terceros, que a menudo no tienen ninguna medida de seguridad.
  • Antes de instalar cualquier aplicación, primero analiza su página en la tienda y asegúrate de que no sea falsa; los malhechores a menudo crean clones de aplicaciones populares.
  • Lee las opiniones de los usuarios sobre la aplicación, prestando especial atención a las negativas. Allí probablemente sabrás si demuestra actividad sospechosa.
  • Asegúrate de instalar una protección fiable en todos tus dispositivos. Esto detectará el código malicioso dentro de una aplicación aparentemente inofensiva y te advertirá a tiempo.
  • Recuerda que en la versión gratuita de nuestra aplicación debes ejecutar el análisis manualmente.
  • Si usas la versión premium de nuestra protección para un dispositivo Android, que viene incluida en las suscripciones de Kaspersky Standard, Kaspersky Plus y Kaspersky Premium, puedes sentarte y relajarte: el análisis en busca de amenazas se realiza automáticamente.
Consejos