Los ciberdelincuentes lo hicieron de nuevo, crearon una app “complementaria” tanto para sistema Android como iOS capaz de infectar dispositivos móviles con un troyano. No conformes con eso, colocaron publicidad para que más gente la descargue. Aplicaciones como Snaptube y Vidmate de Android la anuncian como una maravilla sin saber que podría robar toda tu información.
¿Qué promete la app?
Aunque investigadores de Kaspersky encontraron que la “modificación maliciosa” estaba solo disponible para Android, esta aplicación tiene una "hermana" en la App Store de Apple. Aunque con un nombre diferente tiene el mismo patrón de logo. Se presenta como “YoWhats Plus” y promete ver estados o biografías de famosos, enviar mensajes a varios contactos a la vez y un generador de videos dentro de la app con música personalizable.
Solo está disponible para iPhone y pide permisos de privacidad como rastreo y uso de la app de extensión. Además de esto está evaluada con 3.6 estrellas, no cuenta con ningún comentario negativo y ¡la página del desarrollador no sirve! Al entrar al enlace, aparece un supuesto sitio web con una leyenda que dice “aquí no hay nada para mostrar”.
En Android, las funciones que promete cambian bastante, son más completas y satisfacen mayores necesidades de los usuarios como:
- Elegir quién puede llamarte.
- Visibilidad de tus estados.
- Visibilidad de cuando escribes y grabas un mensaje.
- Verificación de la recepción de los mensajes.
- Nuevas fuentes de texto.
- Emojis de Android Oreo.
- Envío de archivos como: APK, ZIP, PDF, entre otros.
- Envío de contenido multimedia o en texto que superan los 700 MB.
- Interfaz de usuario con líneas suavizadas.
- Fondos y animaciones.
- Mejora de rendimiento para ser más rápido que WhatsApp.
- Modo de bloqueo especial mediante PIN, patrón o huella dactilar.
Debido a que WhatsApp carece aún de estas configuraciones de privacidad, los usuarios de la app de mensajería descargan estas “modificaciones” o “complementos” para personalizarla. Pero calma, Meta ya trabaja en muchas de las funciones extra que prometen estos ciberdelincuentes.
Hablemos del virus
Hace un año, Kaspersky, la compañía especializada en ciberseguridad, detectó una código malicioso en WhatsApp que difundía el troyano “Triada”. Este virus es conocido por utilizar los permisos root para reemplazar archivos de sistema además de otros trucos en el software para que resulte prácticamente imposible detectarlo.
Troyano Triada
Tras ser descargado e instalado, el malware intenta recopilar información acerca del sistema como: el modelo del dispositivo, la versión del sistema operativo, el tamaño de la tarjeta SD, las aplicaciones instaladas, etc. Luego envía toda esta información al servidor de mando y control (C&C). Este responde con un archivo de configuración que en resumidas cuentas borra su huella digital para pasar desapercibido.
Triada modifica el proceso “Zygote” del sistema operativo Android, utilizado como plantilla para cualquier aplicación. Esto significa que, una vez que el troyano entra en Zygote, empieza a formar parte de todas las aplicaciones del dispositivo. También sustituye las funciones del sistema y oculta sus módulos de la lista de procesos en ejecución o de las apps instaladas. Esto lo hace completamente indetectable en el equipo móvil.
Investigadores de Kaspersky descubrieron que también se entromete en la bandeja de entrada y salida de los SMS, los filtra y los oculta del usuario. Así es como los cibercriminales ganan dinero con el troyano. Como algunas apps dependen de los SMS para realizar compras, los datos de las transacciones enviados por mensajes de texto son modificados por Triada y recibidos por los delincuentes.
El virus en la aplicación Yo WhatsApp y YoWhats Plus
En esta contienda digital, la aplicación propaga el troyano que a su vez es capaz de instalar otros más y emitir suscripciones de pago e incluso robar cuentas de la app de mensajería instantánea. De acuerdo con Kaspersky, más de tres mil 600 usuarios fueron víctimas en los últimos dos meses. Rusia, Brasil, México e Indonesia fueron los países con mayor número de afectados.
Para usar la extensión, los usuarios deben iniciar sesión en su cuenta oficial de WhatsApp. Sin embargo, junto con todas las nuevas funciones, también reciben el troyano Triada. Tras infectar el dispositivo, los atacantes bajan y ejecutan cargas maliciosas además de obtener las claves de su cuenta. Esto les brinda lo permisos necesarios para que la app funcione correctamente.
Asimismo, obtienen la capacidad de usurpar cuentas y ganar el dinero de las víctimas. La función es la misma, los inscriben a suscripciones por pago y en lugar de que el dinero llegue a los desarrolladores de estas apps, los ciberdelincuentes son quienes lo reciben.
“Lo que recomendamos para evitar este tipo de incidentes es que los usuarios solo descarguen aplicaciones de las tiendas oficiales. No siempre contarán con la misma cantidad de funciones personalizadas, pero definitivamente serán mucho más seguras para ellos, reduciendo así la posibilidad de perder su cuenta o su dinero”, comenta Anton Kivva, investigador de seguridad de Kaspersky.
¿Cómo me puedo proteger de este tipo de malware?
- Instalar aplicaciones únicamente de tiendas oficiales confiables.
- Evitar a toda costa las extensiones o apps complementarias.
- Verificar los permisos otorgados; algunas de ellas pueden ser muy peligrosas.
- Instalar en su smartphone un antivirus móvil confiable prevendrá posibles amenazas.
- Informarte constantemente de las nuevas amenazas del mundo digital.
Sigue leyendo: Cuidado con los archivos adjuntos que bajas de tu mail: circulan virus peligrosos en los correos corporativos