Обнаружив новый вредоносный мод для WhatsApp, Kaspersky Lab решили выяснить, откуда он берется. Согласно статистике, источником была реклама в популярном приложении Snaptube. После небольшой проверки мы подтвердили, что в официальном приложении Snaptube можно найти рекламу YoWhatsApp (MD5: C3B2982854814E537CD25D27E295CEFE), при нажатии на которую пользователю будет предложено установить вредоносную сборку.
Это не первый случай, когда Kaspersky Lab сталкивались с подобным методом распространения. Ранее, например, похожая ситуация произошла с приложением CamScanner, версия которого, размещенная в Google Play Market, содержала рекламную библиотеку с вредоносным компонентом.
Позже Kaspersky Lab обнаружили вредоносную версию сборки YoWhatsApp в популярном мобильном приложении Vidmate (MD5 CBA56F43C1EF32C43F7FC5E2AC368CDC), предназначенном для сохранения и просмотра видео с YouTube. В отличие от Snaptube, вредоносная сборка была загружена во внутренний магазин, который является частью Vidmate. Название модификации - WhatsApp Plus, но ее функции, как легитимные, так и вредоносные, похожи на те, что есть в Snaptube. Версия сборки YoWhatsApp также совпадает.
Киберпреступники все чаще используют возможности легитимного программного обеспечения для распространения вредоносных приложений. Это означает, что пользователи, выбирающие популярные приложения и официальные источники установки, все равно могут стать их жертвами. В частности, вредоносное ПО типа Triada может украсть учетную запись IM и, например, использовать ее для рассылки нежелательных сообщений, в том числе вредоносного спама. Деньги пользователя также подвергаются риску, поскольку вредоносная программа может легко установить для жертвы платные подписки.
Indicators of Compromise
URLs
- http://av2wg.rt14v.com:13002
- https://g1790.rt14v.com:13001
- https://wa.zcnewy.com
MD5
- 47674b2ada8586acaf34065ff4cf788a
- 72645469b04af2d89bc24adda2705b68
- 8ee2df87e75cc8ab1b77c54288d7a2d9
- ac6c42d2f312fe8e5fb48fe91c83656b
- caa640824b0e216fab86402b14447953
- deaafdd4b289443261e18b244eafb577
- f67a1866c962f870571587b833add47b