روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ نسخه‌ی دیگر واتس‌اپ با نام YoWhatsApp، مخرب است. این نسخه تروجان Triada را در اسمارت‌فون‌ها دانلود می‌کند و کارش نمایش آگهی‌های تبلیغاتی است و همچنین عضو کردن مخفیانه کاربر در محتواهای پلی. همچنین یوواتس‌اپ اکانت‌های واتس‌اپی را نیز سرقت می‌کند. با ما همراه شوید تا توضیح دهیم این اتفاق چگونه افتاد و از این ماجرا چه درس‌های می‌شود گرفت.

مراقب باشید جفت‌پا در تله نیافتید!

شاید مهمترین قانون امنیت اطلاعات، کاهش ریسک باشد. بدین‌منظور:

•         از وبسایت‌های مشکوک دیدن نکنید- ممکن است آن‌ها حاوی آگهی‌های مخرب باشد یا پوششی باشند برای اسکم فیشینگ.
•         نسخه‌های هک‌شده‌ی برنامه‌ها را از طریق تورنت‌ها دانلود نکنید. اگر چنین کنید احتمال این وجود دارد که کرک‌ها (برای مثال) حاوی تروجان سارق پسورد باشند.
•         روی لینک‌های داخل ایمیل‌ها که ارسالی از آدرس‌های ناشناخته هستند کلیک نکنید و همچنین پیوست‌های این چنینی را نیز باز نکنید- اینها همگی می‌توانند نوعی از بدافزار باشند.

اینکه موارد فوق را رعایت کنید در ادامه باعث می‌شود در مقابل تهدیدهای سایبری در امان بمانید. در عین حال هنوز مهم است که آنتی‌ویروس خود را فعالسازی کنید؛ این تضمینی است که اگر هم اتفاقی بیافتد در امانید. همانطور که قدم زدن در شب در بیابان کار خطرناکی است باید بدانید گشتن در فضای مجازی بدون اطلاعات کافی نیز می‌تواند به همین اندازه خطرناک باشد. همیشه با کمک گرفتن از عقل سلیم می‌شود از یک سری اسکم‌ها جلوگیری کرد. علاوه بر روش‌های بالا همچنین باید به این نیز اشاره کنیم که از منابع غیررسمی نیز نباید اپ‌های موبایل را دانلود کرد. گوگل و اپل اپ‌ها را پیش از افزودنشان به فروشگاه خود اعتبارسنجی می‌کنند پس احتمال مواجهه با بدافزار بسیار پایین است البته این احتمال هرگز صفر نیست (مخصوصاً وقتی از گوگل‌پلی حرف می‌زنیم). هوآوری نیز همین کار را در فروشگاه Huawei AppGallery خود می‌کند گرچه آنجا هم چند باری بدافزار پیدا شده است. اما احتمال برخورد با بدافزار در پلت‌فرم‌های باز که به شما اجازه دانلود فایل apk می‌دهند بیشتر خواهد بود. قانون امنیتی کلیدی دیگر: از کلاینت‌های غیررسمی برای اپ‌های پیام‌رسان استفاده نکنید. برای درک دلیل اهمیت بیایید به ساز و کار اپ‌های پیام‌رسان دقیق‌تر نگاه کنیم: بیشتر آن‌ها بر طبق مدل کلاینت-سرور کار می‌کنند جایی که کاربر مستیم با اپ کلاینت تعامل دارد. تبادل داده بین کلاینت و سرور و از طریق پروتکلی ویژه اتفاق می‌افتد. این پروتکل برای خیلی از اپ‌های پیام‌رسان باز است. این ساخت کلاینت‌های اصلاحی غیررسمی را که قابلیت‌های اضافه مانند مشاهده مسیج‌هایی که سایر کاربران پاک کرده‌اند، ساخت میلینگ‌های انبوه، سفارشی‌سازی رابط و غیره دارند ممکن می‌سازد. پس خطرش کجاست؟ در مورد کلاینت‌های رسمی شما فقط مکاتبات خود را به سازنده اپ پیام‌رسان می‌سپارید اما وقتی از کلاینت غیررسمی استفاده می‌کنید نه تنها توسعه‌دهندگان سیستم پیام‌رسان که همچنین توسعه‌دهندگان اپ کلاینت غیررسمی نیز به مکاتبات شما اشراف دارند. از این مهمتر کلاینت اصلاحی شاید از طریق منابع غیررسمی توزیع شود (که نباید بدان‌ها اعتماد کرد). همه این‌ها مراحل اضافی هستند که هر لحظه ممکن است خطاپذیر باشند- به بیانی دیگر ریسک در پی داشته باشند.

و حالا، Triada

به طور طبیعی، یک جای کار لنگید و سناریوی پارسال FMWhatsapp تکرار شد: آن زمان مهاجمین مود FMWhatsapp را با دراپر آلوده کردند؛ دراپری که تروجان چندکارکرده‌ی تریادا را در دستگاه‌های کاربران دانلود کردند. این تروجان ماژولار عمدتاً آگهی‌ها و علایم محتوای پولی به کاربر نشان می‌دهد. اکنون همین اتفاق عملاً تکرار شده آن هم درست برای یک اپ پیام‌رسان البته با کلاینت غیررسمی. این بار مود YoWhatsApp که به YoWA نیز معروف است آلوده شده است. این مود کاربران را با گزینه‌های گسترده حریم خصوصی جذب می‌کند؛ همینطور توانایی انتقال فایل‌ تا 700 مگابایت، سرعت بیشتر و غیره. ظاهراً  YoWhatsApp چشم توزیع‌کنندگان بدافزار را گرفت زیرا پایگاه کاربری قابل‌ملاحظه‌ای داشته است.

همچنین این حقیقت که این مود در گوگل‌پلی اجازه ورود نداشته هم باعث شده مجرمان بدان علاقه نشان دهند. از این رو کاربران عادت دارند YoWhatsApp را از منابعی دانلود کنند که درجات اطمینان مختلفی دارند. یکی از کانال‌های اصلی توزیع این نسخه آلوده‌ی مود تبلیغ کردن SnapTube بود، اپی برای دانلود ویدیو و آدیو. صاحبان SnapTube خود شاید حتی شک هم نکرده بودند که یکی از کمپین‌های تبلیغاتی‌شان دارد بدافزار توزیع می‌کند. در کنار YoWhatsApp آلوده، کاربران دراپری نیز دریافت کردند که کارش ارسال تروجان تریادا به دستگاه‌شان بوده است. برخلاف کمپین سال گذشته این بار دراپر تنها چیزی نبود که با تروجان آمد. قابلیت دیگری نیز به YoWhatsApp اضافه شده بود که به مهاجمین اجازه می‌داد کلیدهای لازم برای عمل کرد واتس‌اپ را سرقت کنند. این کلیدها برای سرقت اکانت و استفاده از آن برای انجام کارهایی چون توزیع بدافزار یا استخراج پول از کانتکت‌های قربانی کافی بودند. در نتیجه، کاربر نه تنها پولش را از دست می‌دهد- چون تریادا آن‌ها را در محتواهای پولی عضو می‌کرد- که همچنین خطر دستکاری کانتکت نیز وجود دارد (مجرمان می‌توانند به اسم کاربر چیزهایی برای مخاطبین بنویسند).

راهکارهای امنیتی

بهترین راه برای مبارزه با بدافزارها این است که از موقعیت هایی که ممکن است در وهله اول به آنها دسترسی پیدا کنید، اجتناب کنید. در این مورد، سه قانون ساده برای محافظت از خود وجود دارد:

•         اپ‌ها را از منابع ناشناس دانلود نکنید. در واقع، این ایده خوبی است که توانایی نصب برنامه‌ها را از مکان‌هایی غیر از Google Play در تلفن هوشمند اندرویدی خود مسدود کنید.
•         کلاینت‌های جایگزین را برای اپ‌های پیام‌رسانی نصب نکنید. حتی اگر نسخه‌های رسمی برنامه‌ها همیشه ایده‌آل نباشند، بسیار قابل اعتمادتر و امن‌تر هستند.
•         از محافظت خوب استفاده کنید و همیشه آن را فعال نگه دارید. کسپرسکی برای اندروید می‌تواند اصلاحات مختلف تروجان Triada و سایر بدافزارهای اندروید را شناسایی کرده و قبل از اینکه فرصتی برای ویران کردن داشته باشند، آنها را مسدود کند. به خاطر داشته باشید که با نسخه رایگان محافظ تلفن همراه ما، باید هر بار که چیزی جدید را دانلود یا نصب می‌کنید، اسکن را به صورت دستی اجرا کنید. نسخه کامل به طور خودکار هر برنامه جدید را اسکن می‌کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.