© WhatsApp
© WhatsApp

D'après des chercheurs de Kapersky, la version 16.80.0 du mod FMWhatsApp distribue le trojan Triada, via un SDK publicitaire.

Le trojan installe plusieurs autres malwares qui font tourner des publicités en plein écran, font souscrire de force à la victime des abonnements premium et qui ont accès aux messages et comptes de l'utilisateur.

Lire aussi :
Crypto-monnaies : Google bannit huit applications de minage frauduleuses du Play Store

Une version de FMWhatsApp infectée

Certaines applications manquent de fonctionnalités au goût de leurs utilisateurs. Plutôt que d'espérer une mise à jour, certains se tournent vers des sites de téléchargement qui contiennent des versions modifiées d'applications populaires. Celles-ci ajoutent des options de personnalisation supplémentaires, la possibilité de désactiver certains paramètres…

C'est le cas de FMWhatsApp, un mod pour la messagerie instantanée WhatsApp, qui ajoute des emojis, des thèmes personnalisés et qui promet une meilleure sécurité avec la possibilité de verrouiller l'accès à l'application. Mais une fonctionnalité supplémentaire s'est glissée dans la version 16.80.0 de l'application, sous la forme du trojan Triada. Celui-ci est présent via un SDK (Software Development Kit, Kit de Développement Logiciel en français) utilisé par les créateurs de l'application pour ajouter des publicités et se financer.

Lire aussi :
Samsung va arrêter de diffuser de la publicité dans les applications installées par défaut sur ses smartphones

xHelper est aussi de la partie

Les chercheurs de Kapersky expliquent que le trojan commence par récolter des informations sur l'appareil pour les enregistrer sur un serveur distant. Ce dernier lui renvoie un lien vers un payload que Triada télécharge, déchiffre et lance. Plusieurs autres malwares sont alors téléchargés et lancés. Certains d'entre eux affichent des publicités en plein écran. D'autres, profitant du fait que FMWhatsApp a accès aux messages de l'utilisateur, font souscrire à ce dernier des abonnements premium en récupérant eux-mêmes le code de confirmation nécessaire pour valider les transactions.

Un autre malware connu sous le nom de xHelper est également téléchargé. Découvert en 2019 par Malwarebytes, ce virus est particulièrement compliqué à supprimer. Il continue d'être réinstallé sur l'appareil de la victime après avoir été effacé et même après une restauration à l'état d'usine du téléphone. En cause, un programme qui s'installe dans la partition système et qui réinstalle xHelper dès que possible.

Si vous êtes infecté par ce malware, la seule solution proposée par Kapersky est de flasher votre téléphone.

Sources : The Hacker News, SecureList