Colin-Thierry
Une nouvelle version d'une application Android non officielle de WhatsApp appelée "YoWhatsApp" a été découverte en train de voler les clés d'accès aux comptes des utilisateurs.
YoWhatsApp est une application de messagerie entièrement fonctionnelle qui utilise les mêmes autorisations que l'application WhatsApp standard et est promue par le biais de publicités sur des applications Android populaires telles que Snaptube et Vidmate.
L'application est livrée avec des fonctionnalités supplémentaires par rapport à WhatsApp officiel, y compris la possibilité de personnaliser l'interface ou de bloquer l'accès aux chats, ce qui la rend plus attrayante pour les utilisateurs à installer.
Cependant, YoWhatsApp v2.22.11.75 vole les clés WhatsApp, ce qui permet aux pirates de contrôler les comptes des utilisateurs.
L'application malveillante YoWhatsApp a été découverte pour la première fois par des analystes de menaces et des chercheurs de Kaspersky. Ils enquêtent également sur des cas de cheval de Troie Triada se cachant dans des versions modifiées de WhatsApp depuis 2021.
D’après une rapport publiée par Kaspersky mercredi, l'application modifiée envoie les clés d'accès WhatsApp des utilisateurs au serveur distant du développeur.
Les analystes des menaces ont ajouté que ces clés peuvent être utilisées dans des utilitaires open source pour se connecter et effectuer des actions en tant qu'utilisateur sans le client réel.
L'utilisation abusive de ces clés d'accès volées par des acteurs malveillants peut entraîner la prise de contrôle de compte, la divulgation de communications sensibles avec des contacts privés et l'usurpation d'identité auprès de contacts proches.
Semblable à l'application Android officielle WhatsApp, l'application malveillante demande des autorisations (comme l'accès aux SMS). Ces autorisations sont ensuite également accordées au cheval de Troie Triada intégré dans l'application.
Kaspersky a déclaré que le cheval de Troie peut abuser de ces autorisations pour inscrire les victimes à des abonnements premium à leur insu et générer des revenus pour les distributeurs.
Le YoWhatsApp modifié a été promu via des publicités sur Snaptube, un téléchargeur de vidéos très populaire qui a victime tombée à la publicité malveillante dans le passé.
Kaspersky a informé Snaptube des cybercriminels poussant des applications malveillantes via sa plateforme publicitaire.
L'application malveillante comprenait des fonctionnalités telles qu'une interface personnalisable, des blocs de salle de discussion individuels et d'autres non proposés par WhatsApp.
De plus, Kaspersky a découvert un clone YoWhatsApp appelé "WhatsApp Plus", qui présentait la même fonctionnalité malveillante et se propageait via l'application VidMate.
Plus tôt ce mois-ci, Meta a également poursuivi plusieurs entreprises chinoises pour avoir développé des applications WhatsApp "non officielles" qui ont volé plus d'un million de comptes d'utilisateurs.
