Пользователи часто используют сторонние моды для добавления дополнительных функций в популярные приложения для обмена сообщениями. Хотя эти моды расширяют функциональность, они также несут в себе потенциально вредоносное ПО. «Лаборатория Касперского» обнаружила новый мод WhatsApp, который не только предлагает такие функции, как планирование сообщений и параметры настройки, но и содержит вредоносный шпионский модуль.

После модификации файла манифеста клиента WhatsApp были обнаружены подозрительные компоненты (сервисы и приемники вещания), которых не было в исходной версии. Когда телефон включен и находится в режиме зарядки, приемник запускает службу и активирует шпионский модуль. Соответственно, вредоносный имплант отправит запрос с информацией об устройстве на сервер злоумышленника. Эти данные включают в себя номера международных идентификаторов мобильного оборудования (IMEI), номера телефонов, коды стран и сетевые коды... Кроме того, каждые 5 минут они передают контактные данные и данные учетной записи жертвы, а также могут настраивать запись микрофона и извлекать файлы из внешней памяти.

Вредоносная версия распространилась по популярным каналам в Telegram, некоторые из которых имеют до двух миллионов подписчиков. Исследователи «Лаборатории Касперского» предупредили Telegram об этой проблеме. Только в октябре телеметрические системы «Лаборатории Касперского» зафиксировали более 340 000 атак, связанных с этим модом. Эта угроза возникла недавно и активизировалась в середине августа 2023 года.

Азербайджан, Саудовская Аравия, Йемен, Турция и Египет являются странами с самым высоким уровнем атак. Хотя атакам подверглись в основном пользователи, говорящие на арабском и азербайджанском языках, они также затронули пользователей из США, России, Великобритании, Германии и т. д.

«Люди часто доверяют приложениям из популярных источников, но этим доверием пользуются мошенники», — считает Дмитрий Калинин, эксперт по безопасности компании «Лаборатория Касперского». «Распространение вредоносных модов через популярные сторонние платформы подчеркивает важность использования официальных клиентов обмена мгновенными сообщениями (IM). Однако, если вам нужны некоторые дополнительные функции, которые недоступны в оригинальном клиенте, вам следует рассмотреть возможность использования надежного решения безопасности перед установкой стороннего программного обеспечения, поскольку оно защитит ваши данные от компрометации. Чтобы быть уверенным в защите ваших персональных данных, всегда загружайте приложения из официальных магазинов приложений или с веб-сайтов».