Affidarsi a mod nel contesto della app Android può spesso rivelarsi molto pericoloso. Le modifiche su determinate app da parte di sviluppatori terzi, infatti, non sempre sono del tutto disinteressate.
A confermare tutto ciò è una recente scoperta di Kaspersky che, analizzando le mod di WhatsApp, ha fatto una scoperta inquietante. Alcune di esse, infatti, sembrano contenere un agente malevolo chiamato Trojan-Spy.AndroidOS.CanesSpy.
Secondo un avviso pubblicato oggi dagli esperti di sicurezza, il modulo spia funziona utilizzando componenti sospetti, con servizi di ricezione e invio che non sembrano avere nulla a che vedere con la versione ufficiale di WhatsApp.
Questi componenti percepiscono vari eventi del sistema e delle applicazioni, come la ricarica del telefono, i messaggi di testo e il download di file. Una volta attivato, il ricevitore attiva il modulo spia, solitamente quando il telefono è acceso o inizia a caricarsi.
Il sistema malevolo trasmette quindi informazioni cruciali dal dispositivo a un server di comando e controllo (C2), inclusi:
- IMEI
- Numero di telefono
- Codice mobile del paese mobile
- Codice di rete mobile
e altro ancora.
Inoltre queste mod WhatsApp tendono caricare sul server remoto i dati su contatti e account della vittima ogni cinque minuti. Il modulo spia controlla continuamente le istruzioni del server C2, denominate “ordini”, e le esegue a intervalli preconfigurati.
Mod WhatsApp spia: 340.000 attacchi individuati in meno di un mese
L’analisi portata avanti dagli esperti, ha individuato alcuni messaggi inviati dal server che, a quanto pare, risultano essere in lingua araba. Ciò potrebbe essere un indizio riguardo la provenienza dei cybercriminali dietro questa operazione. Il vettore adottato per la distribuzione delle mod spia è stata identificata principalmente attraverso canali Telegram alquanto popolari nel settore.
Kaspersky ha affermato che solo tra il 5 e il 31 ottobre, sono stati registrati oltre 340.000 attacchi relativi a questa mod WhatsApp in più di cento paesi, con numeri elevati di attacchi registrati in paesi come Azerbaigian, Arabia Saudita, Yemen, Turchia ed Egitto.
A tal proposito si è espresso Dmitry Kalinin, ricercatore di sicurezza di Kaspersky, “Per evitare di perdere i vostri dati personali, vi consigliamo di utilizzare solo client di messaggistica istantanea ufficiali“. Lo stesso ha poi aggiunto come “Se hai bisogno di funzionalità extra, ti consigliamo di utilizzare una soluzione di sicurezza affidabile in grado di rilevare e bloccare il malware se la mod che hai scelto risulta essere infetta“.