A WhatsApp Mod megfertőzi az Android-eszközöket egy olyan rosszindulatú programmal, amelyet nem lehet eltávolítani.

Az egyik legelterjedtebb azonnali üzenetküldő szolgáltatás, a WhatsApp számos Moddal rendelkezik, amelyek olyan speciális funkciókat telepíthetnek, amelyeket nem az eredeti fejlesztő biztosított. A WhatsApp számos modjának egyike az FMWhatsApp , amely jobb adatvédelmet, App Lockert , csevegési témákat és hangulatjel-csomagokat kínál. De van még valami, ami a felhasználókat biztosítja, ez a Triada Malware, amely utat nyit a csúnya és szinte lehetetlen eltávolítani, az xHelper Trojan számára .

Kép: Google

A Kaspersky kutatói elképesztő felfedezést tettek az FMWhatsApp 16.80.0-s verziójának nevezett WhatsApp Moddal kapcsolatban, amely egy Software Deployment Kit reklámozási célú szoftvertelepítési készlet segítségével dobja el a Triada trójai programot az összes telepített eszközön. A Kaspersky biztonsági szakértője, Igor Golovin kijelentette, hogy a Google Playen elérhető összes FMWhatsApp-klón nem tartalmaz rosszindulatú modokat, de tartalmaz hirdetéseket és utasításokat más modok letöltésére és telepítésére. Kijelentette továbbá, hogy „Ez az alkalmazás elérhető volt néhány népszerű WhatsApp modot terjesztő webhelyen. A linkeket azonban nem tudjuk megosztani velük."

Mi az a Triada Malware?

Kép: 360 Total Security

A Triada Malware-t eredetileg 2016-ban fedezték fel a Kaspersky kutatói, akik a mobil ellátási láncban működő rosszindulatú programok közé sorolták, amelyek más rosszindulatú programokat szállítottak az áldozat eszközeire. A nemrég felfedezett új verzió az FM WhatsApp mod által monetáris célból telepített reklámszoftver-fejlesztő készleten keresztül kerül a felhasználó eszközére.

Amint a Trida rosszindulatú program belép az eszközbe, hasznos adatletöltőként működik, és akár hat másik trójai programot is befecskendez a fertőzött eszközbe. Ezek a trójaiak felhasználhatók rosszindulatú tevékenységek végrehajtására az áldozat telefonján. A Kaspersky a Triadát szinte láthatatlan kártevőnek és a valaha volt egyik legfejlettebb mobil trójainak nevezte.

A Triada korábbi verzióit 2019-ben a Kaspersky a CamScanneren és az APKPure- on is megtalálta a Google Play Áruházban.

Hogyan működik a Triada Malware a telepített eszközökön?

A Triada kártevő az FMWhatsApp segítségével települ a felhasználók eszközére, és csak az eszközinformációk gyűjtését kezdeményezi, hogy elküldje azokat az igazított szerverre. A Command & Control szerver további hasznos terhet biztosít, amely letöltődik és elindul a fertőzött Android-eszközön. Nincs meghatározott típusú rosszindulatú program, de véletlenszerű típusok is elindíthatók, ahogy az a következő táblázatban látható

A fenti trójai programokon kívül különböző típusú rosszindulatú programok is letölthetők és hozzáférhetnek a Felhasználó eszközéhez. Ez azért lehetséges, mert amikor a felhasználó letölti az FMWhatsApp alkalmazást, az különféle engedélyeket kér, például szöveges üzeneteket, telefonalkalmazásokat stb. Az FMWhatsApp mod azonban biztosítja az általa ígért összes funkciót, ami megnehezíti a mod rosszindulatú programozóként való észlelését. A rosszindulatú fájlok általában hirdetésblokkokon keresztül terjednek ezekben az alkalmazásokban.

Javasoljuk, hogy töltsön le bármilyen szoftvert a hivatalos App Store-ból, például a Google Play Áruházból. Amazon , Samsung Galaxy Store stb. Bár a hivatalos verziók nem tartalmaznak néhány olyan divatos funkciót, amelyekkel lenyűgözhetné barátait, de legalább garantálják a biztonságot a telepítés után. Ezeknek a népszerű alkalmazásoknak a hivatalos verziójában nem találhatók rosszindulatú programok.

Mi a legrettegettebb xHelper trójai, és miért tartják olyan rettenetesnek?

Kép: Tech Herald

A Triada rosszindulatú program egy csomó más rosszindulatú programot telepít Android-eszközére, és ezek közül a legrosszabb az XHelper trójai. Ez egy olyan rosszindulatú program, amelyet szinte lehetetlen eltávolítani az eszközről, és az Android-eszközök törlés utáni újrafertőzésére specializálódott. Még a telefon gyári beállításainak visszaállítása után is újra megjelenhet.

Az xHelper trójai programot először a Malwarebytes fedezte fel 2019 márciusában, és hamarosan 45 000-et fertőzött meg 2019 októberéig. Megfigyelték, hogy ez a rosszindulatú program „Web Directs”-t használt, és arra kényszerítette a felhasználókat, hogy rosszindulatú alkalmazásokat töltsenek le harmadik féltől származó alkalmazásboltokból. Az xHelper trójai következő lépése az, hogy átmásolja magát az eszköz rendszerpartíciójára, hogy megvédje magát, és túlélje az eltávolítási kísérleteket. Újracsatolhatja a rendszerpartíciót írási módban, és lecseréli a Libc.so fájlt is. A rendszerkönyvtár cseréje után a rettegett trójai blokkolhatja a felhasználó hozzáférését a mounthoz, és biztosíthatja, hogy senki se tudja eltávolítani.

Hogyan távolítható el az xHelper Trojan Android-eszközéről?

A kártevő eltávolításának legmegbízhatóbb módja az Android rendszer frissítése. Ez erősebb, mint a gyári beállítások visszaállítása, mivel minden szoftverinformációt kitöröl, és az operációs rendszer és más rendszereszközök új példányát idézi elő.

Megjegyzés: A Malware bytes azt állítja, hogy a Malware App for Android ingyenes verziója sikeresen tudja eltávolítani ezt a trójai programot.

Az utolsó szó a WhatsApp Modról egy lehetetlen eltávolítható kártevővel fertőzi meg az Android-eszközöket

A biztonsági szakértők határozottan azt javasolták, hogy az alkalmazások hivatalos verzióit csak a legális App Store-ból használják. A rosszindulatú programok, mint a Triada, bizonyos esetekben előre telepítve vannak a pénztárcabarát telefonokon, hogy biztosítsák a hátsó ajtót. A rosszindulatú szereplők ezt a hátsó ajtót arra használják, hogy kihasználják az eszköz előnyeit, hozzáférést szerezve az eszközhöz és valószínűleg az irányítási jogokhoz is. A valós idejű Android-optimalizáló alkalmazás, például a Smart Phone Cleaner segít megvédeni eszközét, és folyamatosan optimalizálva tartja telefonját.