روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ ما اخیراً به این موضوع پی بردهایم که نسخهای از مود محبوب واتساپ به نام FMWhatsApp شامل تروجانِ جاگذاریشده است. این تروجان که Triada نام دارد بدافزار دیگری را در دستگاههای کاربران دانلود میکند. در ادامه همراهمان باشید تا توضیح دهیم دقیقاً چه اتفاقی افتاده است و چرا استفاده از نسخههای مودشده[1] واتساپ خطرناکند.
اصلاً علت استفاده از مودهای واتساپ چیست؟
همه کاربران هم از اپ رسمی واتساپ راضی نیستند. برخی شاید حس کنند به پیامهایی نیاز دارند که خود به خود حذف میشند و یا شاید در مقابل برخی بخواهند ببینند که فرد آنسوی پلتفرم پیام پاکشدهشان را دیده است. عدهای دیگر هم هستند که دنبال تمهای پویا هستند و در عین حال برخی دیگر میخواهند از لیست عمومی یک سری چتهای خاص را پنهان کنند یا به طور خودکار پیامها را ترجمه نمایند. در اصل آنها میخواهند همان لحظه چنین قابلیتهایی را در اختیار داشته باشند؛ نه اینکه روزی توسعهدهندگان واتساپ تصمیم بگیرند آنها را پیادهسازی کنند. در نتیجه، برخی کاربران به کلاینتهای مودشدهی واتساپ –قابلدسترسی در فضای آنلاین- روی میآورند که تعدادشان هم کم نیست. طرفداران مودها حتی با کرکهایی که هر از چند گاهی روی چنین مودیفیکیشنهایی صورت میگیرد یا حتی تهدیدهای ممنوعیت اکانت هم نمیترسند. سازندگان مودهای واتساپ اغلب –در کنار قابلیتهایی که کاربران دنبالشان هستند- در آنها آگهیهای تبلیغاتی جاگذاری میکنند و خوب شاید قابلدرک هم باشد. با این حال مشکل از جایی شروع میشود که سازندگان شروع میکنند به استفاده از ماژولهای تبلیغاتی طرفسوم که در واقع کد مخرب از همان طریق میتواند نفوذ پیدا کند.
Triada و همدستهایش در مود FMWhatsApp
این دقیقاٌ همان اتفاقی بود که برای FMWhatsApp افتاد؛ همین مود محبوب واتساپ را میگوییم. در نسخه 16.80.0 توسعهدهندگان از ماژول تبلیغاتی طرفسومی استفاده کردند که داخلش تروجان بود. راهکار آنتیویروس موبایل ما این بدافزار را شناسایی میکند (آن هم با عنوان Trojan.AndroidOS.Triada.ef). ما وضعیت را مشابه بهار 2021 دیدیم؛ زمانیکه که توسعهدهندگان اپاستور غیررسمی APKPure نیز از یک ماژول تبلیغاتی از یک منبع اعتبارسنجینشده استفاده کرده بودند. در نهایت این سازه و کاربرانش همگی توسط Triada Trojan (البته نسخهای با تفاوت جزئی) آلوده شد. مانند سناریوی APKPure آلوده، تروجان Triada در نسخه خطرناک مود FMWhatsApp نیز همان شیوه عمل را دارد: ابتدا دادههای دستگاه کاربر را جمعآوری میکند و بعد بسته به اطلاعات، تروجان دیگری را دانلود میکند. نسخه مخرب FMWhatsApp چندین نوع بدافزار را در دستگاههای دانلود میکند:
- Trojan-Downloader.AndroidOS.Agent.ic تروجانی است که سایر ماژولهای آلوده را دانلود و اجرا میکند.
- Trojan-Downloader.AndroidOS.Gapac.e که سایر ماژولهای آلوده دیگر را دانلود و اجرا کرده و نیز تبلیغات را در قالب تمامصفحه در زمانی غیرمنتظره نمایش میدهد.
- Trojan-Downloader.AndroidOS.Helper.a که یک ماژول نصبگر متعلق به تروجان xHelper نصب و اجرا کرده و در پسزمینه آگهیهای غیرقابلرؤیت را اجرا مینماید.
- Trojan.AndroidOS.MobOk.i تروجانی است که کاربران را در اشتراکهای پولی عضو میکند.
- Trojan.AndroidOS.Subscriber.l تروجان دیگری است که کار تروجان فوق را انجام میدهد.
- Trojan.AndroidOS.Whatreg.b که پیچیدهترین تروجان در لیست است به اکانت واتساپ وارد میشود (روی گوشی قربانی) و متن تأیید لاگین را رهگیری میکند. دستگاه سپس میتواند مکانی برای انواع فعالیتهای غیرقانونی مانند توزیع اسپم یا تجارت غیرقانونی.
راهکارهای امنیتی
- از هیچ منبع غیررسمی اپ نصب نکرده و از تنظیمات دستگاه خود برای انکار مجوز جهت نصب آنها استفاده کنید. اگر نیاز است اپی را از فروشگاه غیررسمی نصب کنید موقتاً مجوز را فعال کرده و سپس آن را باری دیگر غیرفعال کنید.
- تنها از اپهای پیامرسان رسمی استفاده کرده و آنها را فقط از فروشگاههای رسمی اپ دانلود کنید- ممکن است یک سری قابلیتها را نداشته باشند اما در عوض ویروسها را به سمت گوشیتان روانه نخواهند کرد!
- چک کنید ببینید چه مجوزهایی برای اپهای نصبشده دریافت کردید- برخی شاید واقعاً تهدیدکننده باشند.
- اپ آنتیویروس موبایل مطمئنی را روی گوشی خود نصب کنید و حواستان به هشدارهایش باشد.
[1] modified versions
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
