WhatsApp Mod saastuttaa Android-laitteet mahdottomasti poistettavalla haittaohjelmalla.

Yksi suosituimmista pikaviestipalveluista, WhatsApp , sisältää monia modeja, jotka voivat asentaa erikoisominaisuuksia, joita alkuperäinen kehittäjä ei tarjoa. Yksi monista WhatsApp- moduuleista on FMWhatsApp, joka tarjoaa paremman yksityisyyden, sovelluslokeron, chat-teemat ja emojipaketit. Mutta on myös jotain muuta, joka tarjoaa käyttäjilleen, ja se on Triada-haittaohjelma, joka tekee tien ilkeälle ja lähes mahdottomaksi poistettavalle xHelper Troijalaiselle .

Kuva: Google

Kasperskyn tutkijat ovat tehneet hämmästyttävän löydön WhatsApp Modista nimeltä FMWhatsApp versio 16.80.0, joka pudottaa Triada-troijalaisen kaikkiin asennettuihin laitteisiin käyttämällä mainontaa varten Software Deployment Kit -pakettia. Kaspersky Security Expert, Igor Golovin, totesi, että kaikki FMWhatsApp klooneja saatavilla Google Play eivät sisällä haittaohjelmia modeja, mutta sisältää mainoksia ja ohjeet ladata ja asentaa muita modeja. Hän totesi lisäksi, että "Tämä sovellus oli saatavilla joillakin suosituilla WhatsApp-moduuleiden jakelusivustoilla. Emme kuitenkaan voi jakaa linkkejä niihin."

Mikä on Triada-haittaohjelma?

Kuva: 360 Total Security

Kaspersky-tutkijat löysivät Triada-haittaohjelman alun perin vuonna 2016 ja luokittelivat sen mobiilin toimitusketjun haittaohjelmiksi, jotka toimittivat muita haittaohjelmia uhrin laitteisiin. Äskettäin löydetty uusi versio saapuu käyttäjän laitteelle Advertising Software Development Kitin kautta, jonka FM WhatsApp -modi käyttää rahallisiin tarkoituksiin.

Kun Trida-haittaohjelma pääsee laitteeseen, se toimii hyötykuorman lataajana ja ruiskuttaa jopa kuusi muuta troijalaista tartunnan saaneeseen laitteeseen. Näitä troijalaisia ​​voidaan käyttää haitallisten toimintojen suorittamiseen uhrin puhelimessa. Kaspersky on kutsunut Triada lähes näkymättömän haittaohjelmia ja yksi pisimmällä mobiili troijalaisia koskaan.

Kaspersky löysi aiemmat versiot Triadasta myös CamScannerista ja APKPuresta vuonna 2019 Google Play Kaupasta.

Kuinka Triada-haittaohjelma toimii asennetuissa laitteissa?

Triada-haittaohjelma asentuu käyttäjien laitteille FMWhatsAppin avulla ja aloittaa laitetietojen keräämisen vain lähettääkseen ne kohdistetulle palvelimelle. Command & Control -palvelin tarjoaa lisähyötykuorman, joka ladataan ja käynnistetään tartunnan saaneella Android-laitteella. Tietyntyyppisiä haittaohjelmia ei ole ladattu, mutta satunnaisia ​​tyyppejä voidaan käynnistää seuraavan taulukon mukaisesti

Yllä mainittujen troijalaisten lisäksi voidaan ladata erilaisia ​​haittaohjelmia, jotka pääsevät käsiksi Käyttäjän laitteelle. Tämä on mahdollista, koska kun käyttäjä lataa FMWhatsApp-sovelluksen, se pyytää erilaisia ​​käyttöoikeuksia, kuten tekstiviestejä, puhelinsovelluksia jne. FMWhatsApp-modi tarjoaa kuitenkin kaikki lupaamansa ominaisuudet, mikä vaikeuttaa tämän modin havaitsemista haittaohjelmien annostelijana. Haitalliset tiedostot leviävät yleensä näiden sovellusten mainoslohkojen kautta.

On suositeltavaa ladata mikä tahansa ohjelmisto virallisista sovelluskaupoista, kuten Google Play Storesta. Amazon , Samsung Galaxy Store jne. Vaikka virallisissa versioissa ei ehkä ole joitain hienoja ominaisuuksia, joilla voit tehdä vaikutuksen ystäviisi, ne takaavat ainakin turvallisuuden asennuksen jälkeen. Näiden suosittujen sovellusten virallisessa versiossa ei ole piilotettuja haittaohjelmia.

Mikä on pelätyin xHelper-troijalainen ja miksi sitä pidetään niin kauheana?

Kuva: Tech Herald

Triada-haittaohjelma asentaa joukon muita haittaohjelmia Android-laitteellesi, ja pahin niistä on XHelper-troijalainen. Se on haittaohjelma, jota on lähes mahdotonta poistaa laitteestasi ja joka on erikoistunut Android-laitteiden uudelleentartuttamiseen poistamisen jälkeen. Se voi jopa ilmestyä uudelleen, kun puhelimesi on palautettu tehdasasetuksiin.

Malwarebytes löysi xHelper-troijalaisen ensimmäisen kerran maaliskuussa 2019, ja se on pian peittänyt ja tartuttanut 45 000 ihmistä lokakuuhun 2019 asti. Havaittiin, että tämä haittaohjelma käytti "Web Directs" -palvelua ja pakotti käyttäjät lataamaan haittaohjelmia kolmansien osapuolien sovelluskaupoista. Seuraava xHelper-troijalainen vaihe on kopioida itsensä laitteen järjestelmäosioon suojatakseen itseään ja selviytyäkseen sen poistamisyrityksistä. Se voi liittää järjestelmäosion uudelleen kirjoitustilassa ja korvaa myös Libc.so-tiedoston. Kun järjestelmäkirjasto on vaihdettu, pelätty troijalainen voi estää käyttäjän pääsyn telineeseen ja varmistaa, ettei kukaan voi poistaa sitä.

Kuinka xHelper Trojan voidaan poistaa Android-laitteeltasi?

Luotettavin tapa poistaa tämä haittaohjelma on päivittää Android-järjestelmä. Tämä on tehokkaampi kuin tehdasasetusten palauttaminen, koska se pyyhkii pois kaikki ohjelmistotiedot ja saa aikaan uuden kopion käyttöjärjestelmästä ja muista järjestelmätyökaluista.

Huomautus: Haittaohjelmatavut väittävät, että Malware App for Android -sovelluksen ilmainen versio voi poistaa tämän troijalaisen onnistuneesti.

WhatsApp Modin viimeinen sana saastuttaa Android-laitteet mahdottoman poistettavalla haittaohjelmalla

Tietoturvaasiantuntijat ovat vahvasti suositelleet käyttää virallisia versioita sovelluksista vain laillisista App Storesta. Haittaohjelmat, kuten Triada, on joissain tapauksissa esiasennettu edullisiin puhelimiin takaoven tarjoamiseksi. Haitalliset toimijat käyttävät tätä takaovea hyödyntääkseen laitetta hankkimalla pääsyn laitteeseen ja luultavasti myös hallintaoikeudet. Reaaliaikainen Android Optimizer -sovellus, kuten Smart Phone Cleaner , auttaa suojaamaan laitettasi ja pitämään puhelimesi aina optimoituna.