Los mods (abreviatura de modificaciones) de WhatsApp son una versión alterada de la aplicación WhatsApp, que son desarrolladas por terceros. Los Mods de WhatsApp son para personas que desean agregar más características y funciones a su aplicación WhatsApp. Nuestros investigadores han descubierto una versión del popular mod para WhatsApp, FMWhatsApp, incluye un troyano incrustado. El troyano llamado Triada descarga otro malware en los dispositivos de los usuarios. Te contamos cómo ha sucedido y por qué utilizar versiones modificadas de WhatsApp puede resultar peligroso.
¿Por qué utilizar mods para WhatsApp?
No todos los usuarios están conformes con la aplicación oficial de WhatsApp. Algunos podrían pensar que necesitan mensajes que se autodestruyan o, por el contrario, la habilidad de poder visualizar mensajes que otro usuario haya eliminado. Hay quien busca temas dinámicos, mientras que otros preferirían ocultar ciertas conversaciones de la lista general o traducir mensajes de forma automática.
Como es natural, los usuarios quieren estas características de inmediato, no cuando los desarrolladores de WhatsApp decidan implementarlas. Como resultado, algunos recurren a los clientes de WhatsApp modificados y disponibles online, que son varios y fáciles de encontrar.
A los fanáticos de los mods no los detiene ni siquiera las ocasionales medidas severas de WhatsApp respecto a estas modificaciones o la amenaza de inhabilitación de sus cuentas.
Los creadores de mods para WhatsApp con frecuencia incrustan anuncios, lo que es entendible, junto con las funciones que los usuarios están buscando. Y precisamente ahí surge el problema: en el uso de los módulos publicitarios de terceros, a través de los cuales el código malicioso podría esquivar el radar de los desarrolladores.
Triada y otros malware en el mod FMWhatsApp
Y esto es precisamente lo que ha sucedido con FMWhatsApp, un mod muy popular para WhatsApp. En la versión 16.80.0, los desarrolladores utilizaron el módulo publicitario de terceros que incluía un troyano. Nuestra solución Kaspersky for Android detecta este malware como Trojan.AndroidOS.Triada.ef.
Nos encontramos con una situación similar en la primavera del 2021 con la tienda de aplicaciones no oficial, APKPure, cuyos desarrolladores también utilizaron un módulo publicitario de una fuente no verificada y con esto infectaron su creación y, en consecuencia, a los usuarios, con el troyano Triada (aunque se trataba una versión un poco diferente).
Como en el caso de la infección en APKPure, el troyano Triada en la versión peligrosa del mod FMWhatsApp realiza una función de intermediario. En primer lugar, recopila datos sobre el dispositivo del usuario y, después, dependiendo de la información, descarga otro troyano.
Los “extras” de Triada vienen en una amplia gama; la versión infectada de FMWhatsApp descarga varios tipos de malware a los dispositivos:
- Trojan-Downloader.AndroidOS.Agent.ic: un troyano que descarga y ejecuta otros módulos maliciosos.
- Trojan-Downloader.AndroidOS.Gapac.e: descarga y ejecuta otros módulos maliciosos y también puede mostrar anuncios en pantalla completa en momentos inesperados.
- Trojan-Downloader.AndroidOS.Helper.a: descarga y ejecuta el módulo instalador del troyano xHelper y ejecuta anuncios invisibles en segundo plano.
- AndroidOS.MobOk.i: un troyano que compra suscripciones.
- AndroidOS.Subscriber.l: otro troyano que compra suscripciones.
- AndroidOS.Whatreg.b: el troyano más complejo de esta lista. Inicia sesión en la cuenta de WhatsApp en el teléfono de la víctima e intercepta el texto de confirmación de inicio de sesión. Entonces, el dispositivo puede convertirse en un sitio para varios tipos de actividad ilegal como distribución de spam o comercio ilegal.
Nuestra publicación de Securelist indaga aún más en el troyano Triada del mod FMWhatsApp.
Cómo protegerte contra estos ataques
Ser precavido y utilizar tu dispositivo de forma segura es clave para alejar el malware y otros aspectos desagradables de tu teléfono. En términos generales, sigue estos consejos para evitar problemas:
- Evita instalar aplicaciones de fuentes no oficiales y utiliza los ajustes de tu dispositivo para denegar el permiso de instalación. (Si necesitas instalar una aplicación que no sea de una tienda oficial, activa de manera temporal ese permiso y después desactívalo de nuevo).
- Utiliza exclusivamente aplicaciones de mensajería oficiales y descárgalas de tiendas de aplicaciones oficiales, tal vez no tengan todas las funciones, pero no inundarán tu teléfono con virus.
- Comprueba qué permisos has concedido a las aplicaciones instaladas, algunos podrían representar una amenaza real.
- Instala una aplicación de antivirus para móvil de confianza en tu teléfono y presta atención a sus advertencias.