Otra modificación de WhatsApp, conocida como YoWhatsApp, resultó ser maliciosa: descarga en los smartphones el troyano Triada, el cual muestra anuncios, suscribe al usuario a contenidos de pago en secreto y roba cuentas de WhatsApp. ¿Cómo pasó esto y qué lecciones podemos aprender?
No acaricies a los leones, o simples reglas de ciberseguridad
La regla más importante de la seguridad de la información es, probablemente, reducir los riesgos. Para esto:
- No visites páginas web sospechosas; pueden contener anuncios maliciosos o ser la fachada para una estafa de phishing.
- Evita descargar versiones piratas de programas a través de torrents. Si lo haces, es probable que, por ejemplo, los cracks contengan un troyano roba-contraseñas.
- No des clic en los enlaces de los correos electrónicos provenientes de direcciones desconocidas y no abras los archivos adjuntos: podría haber todo tipo de malware esperándote.
Esa es la idea: tener cuidado contribuye en gran medida a tener protección contra las ciberamenazas.
Al mismo tiempo, sigue siendo importante mantener el antivirus activo y actualizado, a manera de seguro por si algo sucede. No tientes al destino “caminando por un callejón desierto a altas horas de la noche” pero en su versión en línea. Aplicar un poco de sentido común, puede reducir en gran medida las posibilidades de ser presa de los estafadores.
Además de las formas ya mencionadas para reducir el riesgo de que algo malo suceda, vale la pena agregar una más: no descargar aplicaciones móviles de fuentes no oficiales. Google y Apple verifican las aplicaciones antes de agregarlas a sus tiendas, por lo que las posibilidades de encontrar malware allí son escasas, aunque no nulas (especialmente en el caso de Google Play). Huawei hace lo mismo con su tienda Huawei AppGallery, aunque también ahí se ha encontrado malware. Pero la posibilidad de encontrar malware en plataformas abiertas que te permiten simplemente descargar un archivo APK es mucho mayor.
Existe regla de seguridad clave: no use clientes no oficiales para aplicaciones de mensajería. Para entender por qué esto es importante, retrocedamos unos pasos y observemos un poco más de cerca cómo funcionan estas aplicaciones de mensajería.
La mayoría de ellas operan de acuerdo con el modelo cliente-servidor, donde el usuario interactúa directamente con la aplicación cliente. El intercambio de datos entre el cliente y el servidor se produce mediante un protocolo especial. Para muchas aplicaciones de mensajería, este protocolo está abierto. Esto posibilita crear clientes modificados no oficiales con funciones adicionales, como ver mensajes que otros usuarios han eliminado, crear correos masivos, personalizar la interfaz, y demás.
Entonces, ¿dónde está el peligro? Con los clientes oficiales, confías tu correspondencia solo al creador de la aplicación de mensajería. Cuando utilizas un cliente no oficial, no solo se lo confías a los desarrolladores del sistema de mensajería, sino también a los desarrolladores de la aplicación del cliente no oficial. Además de esto, el cliente modificado puede ser distribuido mediante fuentes no oficiales (en las que, como dijimos, no debemos confiar). Todas estas son etapas adicionales en las que algo puede salir mal; en otras palabras, hay más riesgos.
¿Qué onda, Triada?
Naturalmente, algo salió mal, al repetirse el escenario sobre el que escribimos el año pasado. En resumen: en aquel entonces, los atacantes infectaron el mod FMWhatsapp con un dropper que descargaba Triada, un troyano multifuncional, en los dispositivos de los usuarios. Este troyano modular muestra anuncios principalmente y registra al usuario para contenido de pago.
Esta vez, prácticamente pasó lo mismo: con la misma aplicación de mensajería, pero con un cliente no oficial diferente. Ahora, el mod YoWhatsApp, también conocido como YoWA, fue infectado. Este mod atrae a los usuarios con mejores opciones de privacidad, la capacidad de transferir archivos de hasta 700 MB, mayor velocidad, entre otras.
Aparentemente, YoWhatsApp llamó la atención de los distribuidores de malware porque su base de usuarios es muy significativa. Además, el hecho de que el mod no estuviera permitido en Google Play jugó a favor de los delincuentes. Por esto, los usuarios están acostumbrados a descargar YoWhatsApp de fuentes con distintos grados de confiabilidad. Uno de los principales canales de distribución de la versión infectada del mod fue la publicidad en SnapTube, una aplicación para descargar audio y video. Los propietarios de SnapTube probablemente ni siquiera sospecharon que una de sus campañas publicitarias estaba propagando malware.
Junto con YoWhatsApp infectado, los usuarios recibieron un dropper que envió el troyano Triada a su dispositivo. A diferencia de la campaña del año pasado, esta vez el dropper no fue lo único que vino con el troyano. Una función adicional fue agregada a YoWhatsApp, la cual permite a los intrusos robar las claves necesarias para que WhatsApp funcione. Estas claves son suficientes para secuestrar una cuenta y usarla para hacer cosas como distribuir malware o extraer dinero de los contactos de la víctima.
Como resultado, el usuario no solo pierde dinero, ya que Triada lo registra en suscripciones de pago, sino que también corre el riesgo de comprometer a sus contactos, a quienes los delincuentes pueden intentar escribir a nombre del usuario.
¿Cómo protegerse del malware en Android?
La mejor manera de luchar contra el malware, en primer lugar, es evitando situaciones en las que puedas contraerlo. En este caso, hay tres simples reglas a seguir para protegerte:
- No descargues aplicaciones de fuentes desconocidas. De hecho, bloquear la capacidad de instalar aplicaciones desde lugares que no sean Google Play en tu smartphone Android es una gran idea.
- No instale aplicaciones de mensajería de clientes alternos. Incluso aunque las versiones oficiales de las aplicaciones no siempre son ideales, son mucho más confiables y seguras.
- Usa una buena protección y mantenla activada siempre. Kaspersky para Android puede detectar diferentes modificaciones del troyano Triada, así como otros tipos de malware de Android y bloquearlos antes de que puedan causar estragos. Ten en cuenta que, con la versión gratuita de nuestra protección móvil, debes ejecutar el análisis de forma manual cada vez que descargues o instales algo nuevo. La versión completa escanea automáticamente cada nueva aplicación.