{"id":26857,"date":"2023-11-27T09:49:52","date_gmt":"2023-11-27T15:49:52","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26857"},"modified":"2023-11-27T09:49:52","modified_gmt":"2023-11-27T15:49:52","slug":"whatsapp-mods-canesspy","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/whatsapp-mods-canesspy\/26857\/","title":{"rendered":"Mods de WhatsApp con spyware"},"content":{"rendered":"<p>Durante la \u00faltima d\u00e9cada, las aplicaciones de mensajer\u00eda como WhatsApp y Telegram se han convertido en una parte integral de la vida de casi todos los usuarios de Internet. Miles de millones de personas los usan para chatear con sus seres queridos, compartir fotos y v\u00eddeos divertidos con amigos, comunicarse con compa\u00f1eros de trabajo, ponerse al d\u00eda con las noticias, etc. Intenta imaginar la vida moderna sin servicios de mensajer\u00eda instant\u00e1nea. Dif\u00edcil, \u00bfno? Desafortunadamente, estas aplicaciones indispensables a veces contienen amenazas ocultas.<\/p>\n<h2>Mods de WhatsApp y Telegram: qu\u00e9 y por qu\u00e9<\/h2>\n<p>Algunas personas piensan que las aplicaciones oficiales de WhatsApp y Telegram carecen de funcionalidad, ya sean opciones adicionales para personalizar la interfaz o algo m\u00e1s espec\u00edfico; por ejemplo, la capacidad de ocultar chats, traducir mensajes autom\u00e1ticamente o ver los mensajes eliminados por los partners del chat. Y la lista de funciones \u201cfaltantes\u201d es muy larga.<\/p>\n<p>Los desarrolladores externos crean <em>modificaciones<\/em> o <em>mods<\/em> de las aplicaciones est\u00e1ndar de WhatsApp y Telegram para satisfacer incluso las necesidades m\u00e1s peculiares de los usuarios, y existen much\u00edsimos mods.<\/p>\n<p>El problema de instalar cualquiera de ellos es que el usuario debe confiar su correspondencia no solo a los desarrolladores del servicio de mensajer\u00eda instant\u00e1nea original sino tambi\u00e9n a los desarrolladores de mods, que pueden ocultar f\u00e1cilmente m\u00f3dulos maliciosos en ellos. Los distribuidores de mods tambi\u00e9n pueden a\u00f1adir algo propio.<\/p>\n<p>En el caso de WhatsApp, la situaci\u00f3n con los mods se complica a\u00fan m\u00e1s por parte de sus propietarios. No aprueban las modificaciones y, por lo tanto, dificultan su distribuci\u00f3n. De vez en cuando, los propietarios de WhatsApp <a href=\"https:\/\/techcrunch.com\/2015\/01\/21\/whatsapp-cracks-down-on-third-party-apps-temporarily-bans-their-users-from-its-service\/\" target=\"_blank\" rel=\"noopener nofollow\">intentan prohibir a las personas el uso de mods<\/a>, aunque hasta ahora no han tenido \u00e9xito. Sin embargo, s\u00ed han tenido cierto \u00e9xito al prohibir clientes alternativos para WhatsApp en las tiendas oficiales como Google Play y App Store.<\/p>\n<p>Como consecuencia, los usuarios de mods de WhatsApp est\u00e1n acostumbrados a descargarlos desde casi cualquier lugar. Se descargan audazmente los archivos APK, se cambia la configuraci\u00f3n para <a href=\"https:\/\/latam.kaspersky.com\/blog\/android-most-dangerous-features\/26801\/\" target=\"_blank\" rel=\"noopener\">permitir la instalaci\u00f3n desde fuentes desconocidas<\/a> y, a continuaci\u00f3n, se ejecutan los mods en los tel\u00e9fonos. Y los ciberdelincuentes aprovechan este descuido incorporando malware en los mods.<\/p>\n<p>Nuestros expertos <a href=\"https:\/\/securelist.com\/spyware-whatsapp-mod\/110984\/\" target=\"_blank\" rel=\"noopener\">han encontrado recientemente<\/a> varios de estos mods infectados, que veremos en esta publicaci\u00f3n.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kisa-banner\">\n<h2>Mods de WhatsApp infectados en Telegram<\/h2>\n<p>Los mods de WhatsApp que llamaron la atenci\u00f3n de nuestros expertos no hab\u00edan mostrado previamente ninguna actividad maliciosa. Ahora, sin embargo, contienen un m\u00f3dulo esp\u00eda que <a href=\"https:\/\/latam.kaspersky.com\/mobile-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kisa____ee0e39f679aecb08\" target=\"_blank\" rel=\"noopener\">nuestras soluciones de seguridad<\/a> detectan como Trojan-Spy.AndroidOS.CanesSpy.<\/p>\n<p>Despu\u00e9s de la instalaci\u00f3n en el tel\u00e9fono inteligente de la v\u00edctima, un mod de WhatsApp infectado espera a que el tel\u00e9fono se encienda o se cargue antes de iniciar el m\u00f3dulo de espionaje. Se contacta con uno de los servidores C2 de la lista respectiva y le carga informaci\u00f3n diversa sobre el dispositivo, como el n\u00famero de tel\u00e9fono, el n\u00famero de IMEI, el c\u00f3digo de red m\u00f3vil, etc. Adem\u00e1s, el troyano esp\u00eda env\u00eda informaci\u00f3n sobre los contactos y las cuentas de la v\u00edctima al servidor cada cinco minutos, mientras espera comandos.<\/p>\n<p>Dejando de lado los comandos de servicio, las capacidades del m\u00f3dulo de espionaje se reducen esencialmente a dos funciones:<\/p>\n<ul>\n<li>Buscar en el dispositivo y enviar a sus operadores los archivos contenidos en la memoria del tel\u00e9fono inteligente (para ser precisos, en su parte no perteneciente al sistema, o \u201calmacenamiento externo\u201d en la terminolog\u00eda de Android)<\/li>\n<li>Grabar el sonido desde el micr\u00f3fono integrado y, como antes, enviar las grabaciones a C2<\/li>\n<\/ul>\n<p>En cuanto a c\u00f3mo se distribuy\u00f3 el spyware, se encontraron modificaciones de WhatsApp infectadas en varios canales de Telegram \u00e1rabes y azerbaiyanos con los nombres de mods populares: GBWhatsApp, WhatsApp Plus y AZE PLUS, una versi\u00f3n de WhatsApp Plus con la interfaz traducida al azer\u00ed.<\/p>\n<div id=\"attachment_26859\" style=\"width: 2184px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/27093026\/whatsapp-mod-canesspy-1.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-26859\" class=\"wp-image-26859 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/27093026\/whatsapp-mod-canesspy-1.jpg\" alt=\"Mods de WhatsApp infectados en canales de Telegram.\" width=\"2174\" height=\"1400\"><\/a><p id=\"caption-attachment-26859\" class=\"wp-caption-text\">Los mods de WhatsApp infectados con spyware se distribuyeron principalmente en los canales de Telegram azerbaiyanos y \u00e1rabes.<\/p><\/div>\n<p>Adem\u00e1s, nuestros expertos descubrieron archivos APK infectados con el m\u00f3dulo de espionaje en los sitios web de descarga de mods de WhatsApp.<\/p>\n<p>En octubre, nuestras soluciones de seguridad detectaron y evitaron m\u00e1s de 340\u00a0000 ataques de este spyware en m\u00e1s de 100 pa\u00edses. Ten en cuenta que estamos hablando de ataques interceptados por nuestras soluciones. La cantidad total (teniendo en cuenta los tel\u00e9fonos en los que no est\u00e1n instaladas nuestras soluciones) es probablemente mucho mayor.<\/p>\n<p>Aunque la propagaci\u00f3n geogr\u00e1fica de la amenaza es extensa, la mayor cantidad de intentos de infecci\u00f3n (por un amplio margen) se registr\u00f3 en Azerbaiy\u00e1n, seguido de varios pa\u00edses \u00e1rabes: Yemen, Arabia Saudita y Egipto, as\u00ed como Turqu\u00eda.<\/p>\n<div id=\"attachment_26858\" style=\"width: 1510px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/27092738\/whatsapp-mod-canesspy-2-EN.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-26858\" class=\"wp-image-26858 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/27092738\/whatsapp-mod-canesspy-2-EN.jpg\" alt=\"Geograf\u00eda de los intentos de infecci\u00f3n por Trojan-Spy.AndroidOS.CanesSpy.\" width=\"1500\" height=\"1393\"><\/a><p id=\"caption-attachment-26858\" class=\"wp-caption-text\">Los 20 principales pa\u00edses donde se distribuyeron los mods de espionaje de WhatsApp.<\/p><\/div>\n<h2>C\u00f3mo protegerte contra el spyware en los servicios de mensajer\u00eda instant\u00e1nea<\/h2>\n<p>Este no es el primer caso en 2023 de m\u00f3dulos maliciosos que se encuentran en aplicaciones de servicio de mensajer\u00eda instant\u00e1nea modificadas. Hace unos meses, escribimos sobre una <a href=\"https:\/\/latam.kaspersky.com\/blog\/telegram-signal-malware-in-google-play\/26662\/\" target=\"_blank\" rel=\"noopener\">serie de mods infectados para Telegram, WhatsApp e incluso el servicio de mensajer\u00eda instant\u00e1nea seguro Signal<\/a>. Por lo tanto, hay muchas razones para permanecer alerta:<\/p>\n<ul>\n<li>Usa solo las aplicaciones oficiales de WhatsApp y Telegram. Como hemos visto, los mods de servicios de mensajer\u00eda instant\u00e1nea son propensos al malware.<\/li>\n<li>Instala aplicaciones solo de tiendas oficiales: App Store de Apple, Google Play, Huawei AppGallery y similares. Estas no son inmunes al malware, pero siguen siendo mucho m\u00e1s seguras que los sitios web de terceros, que a menudo no tienen ninguna medida de seguridad.<\/li>\n<li>Antes de instalar cualquier aplicaci\u00f3n, primero analiza su p\u00e1gina en la tienda y aseg\u00farate de que no sea falsa; los malhechores a menudo crean clones de aplicaciones populares.<\/li>\n<li>Lee las opiniones de los usuarios sobre la aplicaci\u00f3n, prestando especial atenci\u00f3n a las negativas. All\u00ed probablemente sabr\u00e1s si demuestra actividad sospechosa.<\/li>\n<li>Aseg\u00farate de instalar una <a href=\"https:\/\/latam.kaspersky.com\/mobile-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kisa____ee0e39f679aecb08\" target=\"_blank\" rel=\"noopener\">protecci\u00f3n fiable<\/a> en todos tus dispositivos. Esto detectar\u00e1 el c\u00f3digo malicioso dentro de una aplicaci\u00f3n aparentemente inofensiva y te advertir\u00e1 a tiempo.<\/li>\n<li>Recuerda que en la versi\u00f3n gratuita de <a href=\"https:\/\/latam.kaspersky.com\/mobile-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kisa____ee0e39f679aecb08\" target=\"_blank\" rel=\"noopener\">nuestra aplicaci\u00f3n<\/a> debes ejecutar el an\u00e1lisis manualmente.<\/li>\n<li>Si usas la versi\u00f3n premium de nuestra protecci\u00f3n para un dispositivo Android, que viene incluida en las suscripciones de <a href=\"https:\/\/latam.kaspersky.com\/standard?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kstand___\" target=\"_blank\" rel=\"noopener\">Kaspersky Standard<\/a>, <a href=\"https:\/\/latam.kaspersky.com\/plus?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kplus___\" target=\"_blank\" rel=\"noopener\">Kaspersky Plus<\/a> y <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>, puedes sentarte y relajarte: el an\u00e1lisis en busca de amenazas se realiza autom\u00e1ticamente.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestros investigadores descubrieron modificaciones de WhatsApp infectadas con spyware distribuidas a trav\u00e9s de canales de Telegram y sitios web de mods de WhatsApp.<\/p>\n","protected":false},"author":2706,"featured_media":26860,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[638,2163,37,38,5914,1254,1060,1262,207,796],"class_list":{"0":"post-26857","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amenazas","9":"tag-android","10":"tag-privacidad","11":"tag-seguridad","12":"tag-servicios-de-mensajeria-instantanea","13":"tag-spyware","14":"tag-telegram","15":"tag-troyanos","16":"tag-vigilancia","17":"tag-whatsapp"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/whatsapp-mods-canesspy\/26857\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/whatsapp-mods-canesspy\/26647\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/whatsapp-mods-canesspy\/22072\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/whatsapp-mods-canesspy\/11203\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/whatsapp-mods-canesspy\/29397\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/whatsapp-mods-canesspy\/26932\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/whatsapp-mods-canesspy\/29405\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/whatsapp-mods-canesspy\/28233\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/whatsapp-mods-canesspy\/36561\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/whatsapp-mods-canesspy\/11874\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/whatsapp-mods-canesspy\/49656\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/whatsapp-mods-canesspy\/21253\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/whatsapp-mods-canesspy\/22022\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/whatsapp-mods-canesspy\/30701\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/whatsapp-mods-canesspy\/35346\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/whatsapp-mods-canesspy\/27190\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/whatsapp-mods-canesspy\/32923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/whatsapp-mods-canesspy\/32573\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26857","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26857"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26857\/revisions"}],"predecessor-version":[{"id":26864,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26857\/revisions\/26864"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26860"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26857"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26857"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26857"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}