WhatsApp Android修改版被发现安装Triada木马

WhatsApp Android修改版被发现安装Triada木马

WhatsApp 用户有时会觉得官方应用程序缺乏某种有用的功能,无论是动画主题、自动删除自己的自毁消息、从主列表中隐藏某些对话的选项、消息的自动翻译或查看已被发件人删除的邮件的选项。

这是业余爱好者使用 WhatsApp 的修改版本介入的地方,它提供了额外的功能。
这些模组可以包含广告,通常以应用程序中显示的各种不同横幅的形式出现。

然而,我们发现特洛伊木马 Triada 与广告软件开发工具包 (SDK) 一起潜入这些名为 FMWhatsapp 16.80.0 的 Messenger 修改版本之一。这与 APKPure 发生的情况类似,其中嵌入应用程序的唯一恶意代码是payloads下载器。

WhatsApp Android修改版被发现安装Triada木马
广告SDK加载木马

我们检测到木马修改为 Trojan.AndroidOS.Triada.ef

Triada 如何运作

应用程序启动后,恶意软件会收集唯一的设备标识符(设备 ID、订阅者 ID、MAC 地址)和部署它们的应用程序包的名称。他们收集的信息被发送到远程服务器以注册设备。它通过发送指向木马下载、解密和启动的payloads的链接来进行响应。

WhatsApp Android修改版被发现安装Triada木马
解密并启动恶意payloads

通过分析 FMWhatsapp 下载文件的统计数据,我们确定了多种不同类型的恶意软件:

WhatsApp Android修改版被发现安装Triada木马
MobOk木马在一个不可见的窗口中打开订阅页面,并冒充用户点击“订阅”……
WhatsApp Android修改版被发现安装Triada木马
…并拦截确认码以确认订阅
  • Trojan.AndroidOS.Subscriber.l(MD5:c3c84173a179fbd40ef9ae325a1efa15)还用于为受害者注册高级订阅。
  • Trojan.AndroidOS.Whatreg.b (MD5: 4020a94de83b273f313468a1fc34f94d ) 在受害者手机上登录 Whatsapp帐户。恶意软件收集有关用户设备和移动运营商的信息,然后将其发送到命令和控制服务器(C&C 服务器)。服务器响应一个地址,请求确认代码和其他登录所需的信息。攻击者似乎已经完成了对 WhatsApp 使用的协议的功课。
WhatsApp Android修改版被发现安装Triada木马
获取登录信息

收集到必要的 ID 后,恶意软件会请求验证码。

WhatsApp Android修改版被发现安装Triada木马
请求短信确认码

值得强调的是,FMWhatsapp 用户授予应用程序读取其 SMS 消息的权限,这意味着木马及其加载的所有其他恶意模块也可以访问它们。这允许攻击者自动为受害者注册高级订阅,即使需要确认代码才能完成该过程。

我们不建议对应用程序进行非官方修改,尤其是 WhatsApp 模块。您很可能最终会收到不需要的付费订阅,甚至完全失去对您帐户的控制权,攻击者可以劫持这些内容用于自己的目的,例如以您的名义传播/发送的垃圾邮件。

侵害指标[IOC]

MD5

Trojan.AndroidOS.Triada.ef
b1aa5d5bf39fee0b1e201d835e4dc8de

b1aa5d5bf39fee0b1e201d835e4dc8de

C&C服务器

http://t1k22.c8xwor[.]com:13002/
https://dgmxn.c8xwor[.]com:13001/

from

Leave a Reply

您的电子邮箱地址不会被公开。