روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما اخیراً به این موضوع پی برده‌ایم که نسخه‌ای از مود محبوب واتس‌اپ به نام FMWhatsApp شامل تروجانِ جاگذاری‌شده است. این تروجان که Triada نام دارد بدافزار دیگری را در دستگاه‌های کاربران دانلود می‌کند. در ادامه همراهمان باشید تا توضیح دهیم دقیقاً چه اتفاقی افتاده است و چرا استفاده از نسخه‌های مودشده[1] واتس‌اپ خطرناکند.

اصلاً علت استفاده از مودهای واتس‌اپ چیست؟

همه کاربران هم از اپ رسمی واتس‌اپ راضی نیستند. برخی شاید حس کنند به پیام‌هایی نیاز دارند که خود به خود حذف می‌شند و یا شاید در مقابل برخی بخواهند ببینند که فرد آنسوی پلت‌فرم پیام پاک‌شده‌شان را دیده است. عده‌ای دیگر هم هستند که دنبال تم‌های پویا هستند و در عین حال برخی دیگر می‌خواهند از لیست عمومی یک سری چت‌های خاص را پنهان کنند یا به طور خودکار پیام‌ها را ترجمه نمایند. در اصل آن‌ها می‌خواهند همان لحظه چنین قابلیت‌هایی را در اختیار داشته باشند؛ نه اینکه روزی توسعه‌دهندگان واتس‌اپ تصمیم بگیرند آن‌ها را پیاده‌سازی کنند. در نتیجه، برخی کاربران به کلاینت‌های مودشده‌ی واتس‌اپ –قابل‌دسترسی در فضای آنلاین- روی می‌آورند که تعدادشان هم کم نیست. طرفداران مودها حتی با کرک‌هایی که هر از چند گاهی روی چنین مودیفیکیشن‌هایی صورت می‌گیرد یا حتی تهدیدهای ممنوعیت اکانت هم نمی‌ترسند. سازندگان مودهای واتس‌اپ اغلب –در کنار قابلیت‌هایی که کاربران دنبالشان هستند- در آن‌ها آگهی‌های تبلیغاتی جاگذاری می‌کنند و خوب شاید قابل‌درک هم باشد. با این حال مشکل از جایی شروع می‌شود که سازندگان شروع می‌کنند به استفاده از ماژول‌های تبلیغاتی طرف‌سوم که در واقع کد مخرب از همان طریق می‌تواند نفوذ پیدا کند.

Triada و همدست‌هایش در مود  FMWhatsApp

این دقیقاٌ همان اتفاقی بود که برای FMWhatsApp افتاد؛ همین مود محبوب واتس‌اپ را می‌گوییم. در نسخه 16.80.0 توسعه‌دهندگان از ماژول تبلیغاتی طرف‌سومی استفاده کردند که داخلش تروجان بود. راهکار آنتی‌ویروس موبایل ما این بدافزار را شناسایی می‌کند (آن هم با عنوان Trojan.AndroidOS.Triada.ef). ما وضعیت را مشابه بهار 2021 دیدیم؛ زمانیکه که توسعه‌دهندگان اپ‌استور غیررسمی APKPure نیز از یک ماژول تبلیغاتی از یک منبع اعتبارسنجی‌نشده استفاده کرده بودند. در نهایت این سازه و کاربرانش همگی توسط Triada Trojan (البته نسخه‌ای با تفاوت جزئی) آلوده شد. مانند سناریوی  APKPure آلوده، تروجان Triada در نسخه خطرناک مود FMWhatsApp نیز همان شیوه عمل را دارد: ابتدا داده‌های دستگاه کاربر را جمع‌آوری می‌کند و بعد بسته به اطلاعات، تروجان دیگری را دانلود می‌کند. نسخه مخرب FMWhatsApp چندین نوع بدافزار را در دستگاه‌های دانلود می‌کند:

•         Trojan-Downloader.AndroidOS.Agent.ic تروجانی است که سایر ماژول‌های آلوده را دانلود و اجرا می‌کند.
•         Trojan-Downloader.AndroidOS.Gapac.e که سایر ماژول‌های آلوده دیگر را دانلود و اجرا کرده و نیز تبلیغات را در قالب تمام‌صفحه در زمانی غیرمنتظره نمایش می‌دهد.
•         Trojan-Downloader.AndroidOS.Helper.a که یک ماژول نصب‌گر متعلق به تروجان xHelper نصب و اجرا کرده و در پس‌زمینه آگهی‌های غیرقابل‌رؤیت را اجرا می‌نماید.
•         Trojan.AndroidOS.MobOk.i تروجانی است که کاربران را در اشتراک‌های پولی عضو می‌کند.
•         Trojan.AndroidOS.Subscriber.l تروجان دیگری است که کار تروجان فوق را انجام می‌دهد.
•         Trojan.AndroidOS.Whatreg.b که پیچیده‌ترین تروجان در لیست است به اکانت واتس‌اپ وارد می‌شود (روی گوشی قربانی) و متن تأیید لاگین را رهگیری می‌کند. دستگاه سپس می‌تواند مکانی برای انواع فعالیت‌های غیرقانونی مانند توزیع اسپم یا تجارت غیرقانونی.

راهکارهای امنیتی

•         از هیچ منبع غیررسمی اپ نصب نکرده و از تنظیمات دستگاه خود برای انکار مجوز جهت نصب آن‌ها استفاده کنید. اگر نیاز است اپی را از فروشگاه غیررسمی نصب کنید موقتاً مجوز را فعال کرده و سپس آن را باری دیگر غیرفعال کنید.
•         تنها از اپ‌های پیام‌رسان رسمی استفاده کرده و آن‌ها را فقط از فروشگاه‌های رسمی اپ دانلود کنید- ممکن است یک سری قابلیت‌ها را نداشته باشند اما در عوض ویروس‌ها را به سمت گوشی‌تان روانه نخواهند کرد!
•         چک کنید ببینید چه مجوزهایی برای اپ‌های نصب‌شده دریافت کردید- برخی شاید واقعاً تهدیدکننده باشند.
•         اپ آنتی‌ویروس موبایل مطمئنی را روی گوشی خود نصب کنید و حواستان به هشدارهایش باشد.

[1] modified versions

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.