Gepubliceerd op: 14 oktober 2022

Een nieuwe versie van een onofficiële WhatsApp Android-applicatie genaamd 'YoWhatsApp' werd gevonden die toegangssleutels voor gebruikersaccounts stal.

YoWhatsApp is een volledig functionerende messenger-app die dezelfde rechten gebruikt als de standaard WhatsApp-app en wordt gepromoot via advertenties op populaire Android-applicaties zoals Snaptube en Vidmate.

De app wordt geleverd met extra functies in vergelijking met de officiële WhatsApp, waaronder de mogelijkheid om de interface aan te passen of de toegang tot chats te blokkeren, waardoor het voor gebruikers aantrekkelijker wordt om te installeren.

Er is echter vastgesteld dat YoWhatsApp v2.22.11.75 WhatsApp-sleutels steelt, waardoor de bedreigingsactoren de accounts van gebruikers kunnen beheren.

De kwaadaardige YoWhatsApp-applicatie werd voor het eerst ontdekt door dreigingsanalisten en onderzoekers van Kaspersky. Ze onderzoeken sinds 2021 ook gevallen van de Triada-trojan die zich verstopt in aangepaste WhatsApp-builds.

Volgens een verslag De gemodificeerde app, die woensdag door Kaspersky is gepubliceerd, stuurt de WhatsApp-toegangssleutels van gebruikers naar de externe server van de ontwikkelaar.

De dreigingsanalisten voegden eraan toe dat deze sleutels kunnen worden gebruikt in open source-hulpprogramma's om verbinding te maken en acties uit te voeren als de gebruiker zonder de daadwerkelijke client.

Het misbruik van deze gestolen toegangssleutels door dreigingsactoren kan leiden tot accountovername, openbaarmaking van gevoelige communicatie met privécontacten en imitatie van nauwe contacten.

Net als bij de officiële WhatsApp Android-app, vraagt ​​de kwaadaardige app om toestemming (zoals toegang tot sms). Deze machtigingen worden dan ook verleend aan de Triada Trojan die in de app is ingebed.

Kaspersky zei dat de trojan deze toestemmingen kan misbruiken om de slachtoffers zonder hun medeweten te registreren voor premiumabonnementen en inkomsten te genereren voor de distributeurs.

De gemodificeerde YoWhatsApp werd gepromoot via advertenties op Snaptube, een zeer populaire video-downloader die: gevallen slachtoffer aan kwaadaardige advertenties in het verleden.

Kaspersky informeerde Snaptube over cybercriminelen die kwaadaardige apps via zijn advertentieplatform pushen.

De kwaadaardige app bevatte functies zoals een aanpasbare interface, individuele chatroomblokken en andere die niet door WhatsApp worden aangeboden.

Bovendien ontdekte Kaspersky een YoWhatsApp-kloon genaamd "WhatsApp Plus", die dezelfde kwaadaardige functionaliteit had en werd verspreid via de VidMate-app.

Eerder deze maand ook Meta aangeklaagd verschillende Chinese bedrijven voor het ontwikkelen van "onofficiële" WhatsApp-apps die meer dan een miljoen gebruikersaccounts hebben gestolen.