Une autre modification de WhatsApp, connue comme YoWhatsApp, s’est avérée être malveillante : elle télécharge le cheval de Troie Triada sur le smartphone. Ce programme malveillant affiche des publicités, s’abonne à des contenus payants sans que l’utilisateur ne le sache et vole les comptes WhatsApp. Comment est-ce arrivé et que pouvons-nous en retenir ?
Ne jouez pas avec le feu ! Quelques règles simples à suivre en cybersécurité
La règle la plus importante en sécurité de l’information est de ne pas prendre de risques. Pour ce faire :
- Ne visitez pas les sites suspects puisqu’ils peuvent contenir des publicités malveillantes ou être une façade pour des arnaques d’hameçonnage.
- Ne téléchargez pas les versions piratées des programmes via des torrents. Si vous le faites, vous risquez d’obtenir des cracks qui contiennent un cheval de Troie qui vole les mots de passe, par exemple.
- Ne cliquez pas sur les liens reçus par e-mail d’un expéditeur inconnu et n’ouvrez pas les pièces jointes. Vous pourriez télécharger un programme malveillant.
Je pense que vous avez compris : faire attention contribue grandement à votre protection face aux menaces informatiques.
D’autre part, il est primordial d’avoir un antivirus actif et mis à jour, juste au cas où il y aurait un incident. Ne tentez pas le diable et ne faites pas en ligne ce que vous ne faites pas dans la vie réelle : vous promenez dans une rue déserte au beau milieu de la nuit. Si vous faites preuve d’un peu de bon sens, vous pouvez réduire de façon significative les risques d’être victime d’escrocs.
En plus des conseils ci-dessus, il convient de vous en donner un autre : ne téléchargez pas les applications mobiles à partir de sources non officielles. Google et Apple vérifient les applications avant de les ajouter à leurs boutiques, donc les risques d’avoir un programme malveillant sont extrêmement minces, même si le risque zéro n’existe pas (surtout avec Google Play). Huawei effectue le même travail pour sa boutique Huawei AppGallery, même si un programme malveillant y a déjà été découvert. Cependant, le risque de télécharger un programme malveillant est beaucoup plus important sur les plateformes publiques qui vous permettent d’obtenir simplement un fichier APK.
Voici une autre règle de sécurité : n’utilisez pas les services non officiels lorsqu’il s’agit d’applications de messagerie. Afin de comprendre pourquoi ce point est important, revenons un peu en arrière et voyons comment une application de messagerie fonctionne.
La plupart de ces applications opèrent selon un environnement client-serveur, où l’utilisateur interagit directement avec l’application cliente. L’échange de données entre le client et le serveur se fait via un protocole spécial. Ce dernier est ouvert pour de nombreuses applications de messagerie. Il est donc possible de créer des clients modifiés non officiels avec de nouvelles fonctionnalités, comme la lecture de messages supprimés par d’autres utilisateurs, la création d’un envoi massif, la personnalisation de l’interface, etc.
Quel est le risque ? Avec le service officiel, vous ne confiez votre correspondance qu’aux créateurs de l’application de messagerie. Lorsque vous utilisez un service non officiel, vous donnez ces informations aux développeurs du système de messagerie et aux développeurs de l’application non officielle. De plus, le client modifié peut être distribué via des sources non officielles, qu’il vaut mieux ne pas utiliser. Toutes ces actions sont des étapes supplémentaires qui amènent de nouveaux dangers. En d’autres termes, vous augmentez les risques.
Quoi de neuf, Triada ?
Évidemment, il y a eu un problème, puisque le scenario que nous avons décrit l’an dernier s’est reproduit. En quelques mots : à l’époque, les cybercriminels avaient infecté le mod FMWhatsApp avec un dropper qui téléchargeait un cheval de Troie multifonctionnel (Triada) sur les appareils des utilisateurs. Ce cheval de Troie modulaire montrait des publicités et souscrivait des abonnements payants.
Quelque chose de similaire vient d’avoir lieu, avec la même application de messagerie mais un autre client non officiel. Cette fois, c’est le mod YoWhatsApp, aussi connu comme YoWA, qui a été infecté. Ce mod attire les utilisateurs en leur proposant des options de confidentialité plus vastes, en leur permettant de transférer des fichiers qui pèsent jusqu’à 700 Mo, en offrant une vitesse plus rapide, etc.
Il semblerait que YoWhatsApp est attiré l’attention des distributeurs de programmes malveillants parce qu’il a une base d’utilisateurs importante. Ainsi, le fait que le mod n’était pas autorisé sur Google Play a joué en faveur des criminels. Les utilisateurs ont l’habitude de télécharger YoWhatsApp à partir de sources plus ou moins fiables. Un des principaux canaux de distribution de la version infectée du mod apparaissait comme publicité sur SnapTube, une application qui permet de télécharger des vidéos et des fichiers audios. Les propriétaires de SnapTube ne pensaient certainement pas que l’une de leurs campagnes publicitaires distribuait un programme malveillant.
En plus du mod YoWhatsApp infecté, les utilisateurs téléchargent un dropper qui installe le cheval de Troie Triada sur l’appareil. Contrairement à la campagne de l’an dernier, le dropper n’est pas le seul élément qui accompagne le cheval de Troie. YoWhatsApp a une nouvelle fonctionnalité qui permet aux intrus de voler les clés nécessaires pour que WhatsApp fonctionne. Ces clés peuvent être utilisées pour pirater un compte puis s’en servir pour distribuer un programme malveillant ou soutirer de l’argent aux contacts de la victime.
Par conséquent, l’utilisateur perd de l’argent, comme Triada l’abonne à des contenus payants, mais en plus il risque de mettre en danger ses contacts, puisque les cybercriminels pourraient les contacter en se faisant passer pour l’utilisateur.
Comment vous protéger contre les programmes malveillants sur Android
La meilleure façon de lutter contre un programme malveillant c’est en évitant les situations où pourriez être infecté. Dans ce cas, il vous suffit de suivre trois règles simples pour vous protéger :
- Ne téléchargez pas les applications à partir de sources inconnues. En réalité, il convient de désactiver l’option qui permet d’installer sur votre smartphone Android des applications qui n’appartiennent pas à Google Play.
- N’installez pas les services alternatifs d’applications de messagerie. Même si les versions officielles des applications ne sont pas toujours idéales, elles sont beaucoup plus fiables et sûres.
- Utilisez une bonne protection et activez-la tout le temps. Kaspersky for Android peut détecter diverses modifications du cheval de Troie Triada et d’autres programmes malveillants pour Android, et peut les bloquer avant qu’ils ne fassent des dégâts. N’oubliez pas qu’avec la version gratuite de notre protection mobile vous devez effectuer manuellement une analyse à chaque fois que vous téléchargez ou installez quelque chose de nouveau. La version payante analyse automatiquement chaque nouvelle application.