Nous avons récemment découvert qu’une version de FMWhatsApp, un mod WhatsApp populaire, contient un cheval de Troie intégré. Ce dernier s’appelle Triada et télécharge des malwares sur les appareils des utilisateurs. Nous vous racontons comment c’est arrivé et pourquoi l’utilisation de versions modifiées de WhatsApp présente des risques.
Pourquoi utiliser des mods WhatsApp ?
L’application officielle WhatsApp ne satisfait pas tout le monde. Certains peuvent vouloir une option d’autodestruction des messages ou inversement, la possibilité de voir les messages qu’un utilisateur a supprimé. D’autres sont plus intéressés par les thèmes dynamiques et le reste veut pouvoir cacher certaines discussions de la liste des conversations ou traduire automatiquement les messages.
Naturellement, ils veulent ces fonctionnalités tout de suite et ne veulent pas attendre que les développeurs de WhatsApp les incluent enfin dans l’application. Par conséquent, certains utilisateurs se tournent vers les versions modifiées de WhatsApp disponibles en ligne, qui sont assez nombreuses et faciles à trouver.
Les mesures répressives que WhatsApp peut parfois prendre suite à ces modifications et les menaces de bannissement ne font pas peur aux fans des mods.
En plus des fonctionnalités recherchées par les utilisateurs, les créateurs des mods WhatsApp intègrent souvent des publicités (ce qui peut se comprendre). Le problème vient cependant du fait qu’ils utilisent des modules publicitaires tiers dans lequel peut se glisser un code malveillant sans que les développeurs ne s’en rendent compte.
Triada et al. dans le mod FMWhatsApp
C’est exactement ce qu’il s’est passé avec FMWhatsApp, un mod WhatsApp très connu. Dans la version 16.80.0, les développeurs utilisent un module publicitaire tiers dans lequel se trouve un cheval de Troie. Notre solution antivirus pour smartphone le détecte sous le nom de Trojan.AndroidOS.Triada.ef.
Nous avons vécu une situation similaire avec l’App Store non officiel APKPure au cours du printemps 2021. Ses développeurs ont utilisé un module publicitaire provenant d’une source non vérifiée qui a par conséquent infecté l’application ainsi que les utilisateurs avec le cheval de Troie Triada (avec une version légèrement différente).
Comme c’est le cas avec l’App Store non officiel APKPure, le cheval de Troie Triada qui se trouve dans la version dangereuse du mod FMWhatsApp, joue un rôle intermédiaire. Premièrement, il collecte les données du dispositif de l’utilisateur puis, en fonction des informations trouvées, il installe un autre cheval de Troie.
Triada contient de nombreuses mauvaises surprises. En effet, la version infectée de FMWhatsApp installe plusieurs types de malwares :
- Trojan-Downloader.AndroidOS.Agent.ic, un cheval de Troie qui installe et exécute des modules malveillants supplémentaires ;
- Trojan-Downloader.AndroidOS.Gapac.e, qui installe et exécute d’autres modules malveillants, et qui peut également afficher des publicités en plein écran à n’importe quel moment ;
- Trojan-Downloader.AndroidOS.Helper.a, qui installe et exécute le module d’installation du cheval de Troie xHelper et qui peut également exécuter des publicités invisibles en arrière-plan ;
- AndroidOS.MobOk.i, un cheval de Troie qui souscrit à des abonnements payants ;
- AndroidOS.Subscriber.l, un autre cheval de Troie qui souscrit à des abonnements payants ;
- AndroidOS.Whatreg.b, l’un des chevaux de Troie les plus complexes de la liste. Il se connecte au compte WhatsApp de la victime sur son téléphone en interceptant la confirmation de connexion. L’appareil peut alors être utilisé pour mener des activités illégales de tout genre, comme envoyer des spams ou faire du commerce illégal.
Vous trouverez plus d’informations sur le cheval de Troie Triada présent dans le mod FMWhatsApp dans notre article publié sur Securelist.
Comment se protéger de ce genre d’attaques
Faire preuve de prudence et utiliser votre appareil en toute sécurité sont la clé pour éloigner les malwares et autres menaces de votre téléphone. Suivez ces étapes pour vous protéger :
- N’installez aucune application provenant d’une source non officielle et paramétrez votre téléphone pour refuser automatiquement l’installation de ces applications. (Si vous devez installer une application provenant d’une source non officielle, activez temporairement l’autorisation puis désactivez-la à nouveau) ;
- N’utilisez que les applications de messagerie officielles et téléchargez-les uniquement à partir d’une boutique officielle (elles auront probablement moins d’options, mais n’infecteront pas votre téléphone avec un virus)
- Vérifiez les autorisations que vous avez accordées aux applications déjà installées : certaines peuvent représenter un vrai danger;
- Installez un antivirus fiable pour smartphone sur votre téléphone et tenez compte de ses avertissements.