Статья Почему моды мессенджеров — это опасно

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
Очередная модификация WhatsApp под названием YoWhatsApp оказалась вредоносной — она загружает на смартфоны троян Triada, который показывает рекламу, втихую подписывает пользователя на платный контент и ворует WhatsApp-аккаунты.


Как это произошло и какие выводы из этого можно сделать?

[H2]Не кормите крокодилов с рук, или Простые правила кибербезопасности[/H2]

why-messenger-mods-are-dangerous-featured.jpg


Едва ли не главное правило информационной безопасности — уменьшай риски.

Для этого:
  • Не ходи на подозрительные сайты — там может быть вредоносная реклама, не говоря уже о фишинге.
  • Не скачивай с торрентов взломанные версии программ — в «таблетках» с большой долей вероятности может оказаться .
  • Не переходи по ссылкам из писем, отправленных с незнакомых адресов, и не открывай вложения из них — там может быть все ровно то же самое.
Ну и так далее — простая осторожность здорово помогает в деле защиты от киберугроз.

При этом, конечно, все равно важно держать антивирус включенным и обновленным — как страховку на случай чего. Но в целом, если не испытывать судьбу, вероятность нарваться на неприятности намного ниже, чем если постоянно ходить, грубо говоря, ночью по безлюдным переулкам.

К уже перечисленным способам снижения рисков стоит добавить еще один, тоже из разряда вечной классики: не скачивай приложения для мобильных телефонов из неофициальных источников. Google и Apple проверяют приложения, прежде чем добавлять их в свои магазины, так что шансы встретить там зловреда довольно невелики, хотя все-таки и не равны нулю (особенно в случае Google Play). Так же делает и Huawei со своим магазином Huawei AppGallery, но и в нем уже находили зловредов. Однако вероятность встретить их на всевозможных открытых площадках, предлагающих просто скачать , намного больше.

Ну и еще одно важное правило безопасности: не стоит пользоваться неофициальными клиентами для мессенджеров. В этом месте стоит сделать два шага назад и разобраться с тем, как работают мессенджеры. Большинство из них функционируют по схеме (непосредственно пользователь напрямую взаимодействует с приложением-клиентом). Обмен данных между ними происходит по специальному . У многих мессенджеров этот самый протокол — открытый. Это делает возможным создание неофициальных модифицированных клиентов с дополнительными функциями.

Например, с возможностью просматривать сообщения, удаленные другими пользователями, делать массовые рассылки, настраивать под себя интерфейс и так далее.

Так в чем же опасность? В случае с официальными клиентами вы доверяете свою переписку только создателям мессенджера. При использовании неофициального клиента ваше доверие распространяется не только на тех, кто сделал сам мессенджер, но и на тех, кто разработал неофициальное приложение-клиент. Плюс ко всему модифицированный клиент может распространяться через неофициальные же источники (а им, как мы помним, доверять нельзя). Все это — дополнительные этапы, где что-то может пойти не так, то есть дополнительные риски.

[H2]What's up, Triada[/H2]

Собственно, оно и пошло не так, причем по тому же сценарию, что и в прошлом году. Тогда злоумышленники заразили приложение FMWhatsapp: встроенный в него загружал на устройство пользователя многофункциональный троян Triada. В основном этот модульный троян занимается показом рекламы и подпиской пользователя на платный контент.

Сейчас же произошло почти точно то же самое, даже мессенджер тот же, только неофициальный клиент другой. В этот раз заражению , также известный как YoWA. Пользователей YoWhatsApp привлекает расширенными опциями приватности, возможностью передавать файлы размером до 700 Мбайт, увеличенной скоростью работы и так далее.

Злоумышленников же YoWhatsApp, видимо, заинтересовал тем, что у него есть приличная пользовательская база и что в Google Play эту модификацию не пустили. Поэтому пользователи привыкли скачивать YoWhatsApp из источников разной степени сомнительности. Одним из каналов, по которым распространялась зараженная версия мода, стала реклама в — приложении для скачивания видео и аудио. В самом SnapTube при этом, вероятно, даже и не подозревали, что одна из рекламных кампаний распространяет зловреды.

Вместе с зараженным YoWhatsApp пользователь получал дроппер, доставлявший на его устройство троян Triada. Отличие от прошлогодней кампании в том, что на сей раз одним только дроппером дело не ограничилось. В YoWhatsApp добавили еще функцию, позволяющую воровать ключи, необходимые для работы WhatsApp. Этих ключей достаточно, чтобы угнать аккаунт и использовать его, например, для рассылки зловредов или выманивания денег у знакомых жертвы.

В итоге пользователь не только теряет деньги, поскольку Triada подключает ему платные подписки, но и рискует подставить своих знакомых, которым злоумышленники могут попробовать написать от его имени.

[H2]Как защититься от зловредов на Android[/H2]

Самый надежный способ борьбы со зловредами — не попадать в ситуации, когда вы можете их заполучить. В данном случае для защиты достаточно следовать трем простым правилам:

  • Не скачивайте приложения из неизвестных источников. И вообще, лучше заблокируйте возможность установки приложений не из Google Play на своем смартфоне.
  • Не устанавливайте альтернативные клиенты для мессенджеров. Пусть официальные версии приложений не всегда идеальны, зато они намного надежнее и безопаснее.
  • Пользуйтесь хорошей защитой и всегда держите ее включенной.
 
Зачем вообще скачивать моды.

Многим пользователям недостаточно функций в официальной версии WhatsApp и они скачивают моды. Это дополнения, которые расширяют возможности мессенджера. Например, позволяют настроить фоны и шрифты для чатов, делать массовые рассылки или защищать определённые чаты паролем.

Как распространяется вредоносный мод.

Это происходит через два легитимных приложения ― Snaptube и Vidmate. В Snaptube, популярном приложении для Android, злоумышленники рекламируют мод под названием YoWhatsApp. Скорее всего, разработчики Snaptube не знали, что злоумышленники используют для своих целей легитимный рекламный модуль, встроенный в их решение. Эксперты «Лаборатории Касперского» предупредили их об этом.

%D0%BA%D0%B0%D1%80%D1%821.jpg


Реклама в популярном приложении Snaptube

В другом приложении, Vidmate, вредоносный мод распространяется под названием Whatsapp Plus. Сервис Vidmate, как и Snaptube, используется для загрузки видео с YouTube, а кроме этого, содержит неофициальный магазин приложений для Android.



%D0%BA%D0%B0%D1%80%D1%822.png

Вредоносный мод для WhatsApp в приложении Vidmate

После установки и запуска мода на устройстве активируется и троянец Triada. Более того, после входа в учётную запись пользователь может потерять доступ к своему аккаунту: зловред крадёт необходимые для этого ключи.

«Реклама в легитимных приложениях — хитрый способ злоумышленников распространять вредоносные программы. Многие считают, что если приложение, которое они используют, безопасно, то и любая реклама в нём не несёт никаких рисков. Однако это не так, поэтому мы рекомендуем быть начеку», — комментирует Антон Кивва, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы не допустить загрузку на устройство вредоносного ПО, рекомендуем:

  • устанавливайте приложения из официальных магазинов — это снизит риски столкнуться с вредоносной программой;

  • если вы всё же хотите установить приложение из стороннего источника, проверьте его на наличие вредоносного кода с помощью защитного решения;

  • прежде чем давать те или иные разрешения приложениям на устройстве, подумайте, действительно ли они необходимы;

  • используйте надёжное защитное решение для мобильных устройств.
 
Сверху Снизу