YoWhatsApp, sugli store il gemello cattivo di Wapp. Si moltiplicano i software pirata: sono gratis ma usarli può costare assai caro

Troppi utenti in rete continuano ad adottare comportamenti a rischio come cercare versioni non ufficiali di app di uso comune che includano funzioni non presenti nelle versioni originali oppure software pirata di popolari applicazioni a pagamento.

“Le app mod, o app moddate, sono versioni modificate di app legittime che offrono alcune funzionalità aggiuntive gratuitamente o a pagamento”

Di recente, i ricercatori dell’azienda di sicurezza Kaspersky hanno scoperto versione non ufficiale dell’app WhatsApp per Android chiamata “YoWhatsApp” che è stata sviluppata con l’intento di rubare le credenziali degli account degli utenti. Le app mod, o app moddate, sono versioni modificate di app legittime che offrono alcune funzionalità aggiuntive gratuitamente o a pagamento.

Leggi anche: WhatsApp down in tutta Italia. Cosa sta succedendo

Molto spesso organizzazioni dedite al crimine informatico o singoli sviluppatori malintenzionati creano queste app e le pubblicizzano come versioni non ufficiali di app legittime. Gli sviluppatori promettono funzionalità non disponibili nelle versioni ufficiali, talvolta invece ci si trova dinanzi a software pirata, ovvero versioni di app a pagamento che sono offerte gratuitamente. Queste applicazioni sono in realtà concepite per compromettere il dispositivo degli ignari utenti installando un codice malevolo che può essere utilizzato per molteplici scopi.

“Gli sviluppatori promettono funzionalità non disponibili nelle versioni ufficiali o propongono software pirata, versioni gratuite di app a pagamento”

L’app YoWhatsApp scoperta da Kaspersky è la versione non ufficiale di WhatsApp, perfettamente funzionante, supporta funzionalità aggiuntive, come la possibilità di personalizzare l’interfaccia utente o il blocco dell’accesso alle singole chat mediante password. I ricercatori di Kaspersky hanno riferito che una specifica versione di YoWhatsApp, v2.22.11.75, è in grado di rubare le credenziali degli utenti.

La versione moddata WhatsApp richiede le stesse autorizzazioni della popolare app di messaggistica originale, come l’accesso agli SMS.

“I ricercatori di Kaspersky hanno riferito che una specifica versione di YoWhatsApp è in grado di rubare le credenziali degli utenti”

“Per utilizzare la mod di WhatsApp, gli utenti devono accedere al proprio account dell’app legittima. Tuttavia, insieme a tutte le nuove funzionalità, gli utenti ricevono anche il Trojan Triada. Dopo aver infettato la vittima, gli aggressori scaricano ed eseguono payload dannosi sul proprio dispositivo” riferisce Kaspersky. “Oltre alle autorizzazioni necessarie per il corretto funzionamento di WhatsApp, questo dà loro la possibilità di rubare account e ottenere denaro dalle vittime iscrivendole ad abbonamenti a pagamento di cui non sono nemmeno a conoscenza”.

I permessi ottenuti dall’app consentono di infettare il dispositivo della vittima con il Trojan Triada, che può esser poi utilizzato per installare sul dispositivo altri software malevoli. Secondo Kaspersky, negli ultimi due mesi sono stati presi di mira più di 3.600 utenti, un dato preoccupante se pensiamo che di app simili ne esistono a migliaia distribuite da altri attori malevoli attraverso i più disparati canali. L’app YoWhatsApp per Android è stata pubblicizzata nell’app ufficiale di Snaptube.

“Queste applicazioni sono in realtà concepite per compromettere il dispositivo degli ignari utenti installando un codice malevolo che può essere utilizzato per molteplici scopi”

Gli esperti hanno scoperto che l’app malevola è stata anche distribuita attraverso la popolare app mobile Vidmate, progettata per salvare e guardare video da YouTube. A differenza di Snaptube, la versione malevola dell’app chiamata per l’occasione Whatapp Plus è stata caricata nell’archivio interno di Vidmate.

Non è la prima volta che gli esperti trovano versioni dell’app WhatsApp per Android usate per distribuire malware. Nell’estate del 2021, Kaspersky ha individuato un’altra versione modificata dell’app WhatsApp per Android, chiamata FMWhatsapp 16.80.0, che offriva funzionalità extra, anch’essa sviluppata per distribuire il Trojan Triada.

Cosa fare per evitare brutte sorprese

Per mettersi al riparo da questo genere di minacce è necessario seguire pochi e semplici consigli come:

• Installare solo applicazioni da store ufficiali e risorse affidabili.
• Ricordarsi di controllare quali autorizzazioni si concedono alle applicazioni installate: alcune di esse possono essere molto pericolose e la loro richiesta deve metterci in allarme se non strettamente connessa alle funzionalità dell’app che installiamo.
• Installare un antivirus per dispositivi mobile affidabile.
• Mantenere il sistema operativo e le app aggiornate all’ultima versione.

Ma le insidie non finiscono qui

Non solo gli utenti mobile sono obiettivo dei criminali informatici, di recente i ricercatori dell’azienda Zscaler hanno individuato una nuova versione di un malware per il furto di informazioni chiamato Ducktail. La nuova versione di Ducktail è scritta in PHP ed è distribuita attraverso programmi di installazione di software gratuiti/software pirata per una varietà di applicazioni, inclusi giochi, applicazioni di Microsoft Office, Telegram e altre.

Il malware Ducktail è attivo dal 2021, gli esperti ritengono che sia stato gestito da un gruppo criminale vietnamita. Nel luglio 2022, i ricercatori di WithSecure (ex F-Secure Business) hanno scoperto una campagna DUCKTAIL rivolta a individui e organizzazioni che operano sulla piattaforma Business e Ads di Facebook. Gli attori malevoli prendevano di mira individui e dipendenti che potevano avere accesso a un account Facebook Business con un un malware scritto per rubare informazioni come cookie del browser ed in grado di abusare delle sessioni Facebook attive per rubare informazioni dall’account Facebook della vittima.

“L’app YoWhatsApp per Android è stata pubblicizzata nell’app ufficiale di Snaptube”

L’obiettivo finale è prendere possesso degli account Facebook Business gestiti dalle vittime. Gli attaccanti prendono di mira individui con ruoli manageriali, esperti di marketing digitale e media, e personale delle risorse umane nelle rispettive aziende. Tipicamente gli aggressori entrano in contatto con le vittime tramite LinkedIn per poi spostare la conversazione su altri canali come applicazioni di instant messaging.

L’ultima campagna individuata da Zscaler, a differenza delle precedenti, si rivolge ad un pubblico più generico, piuttosto che a dipendenti specifici con accesso amministrativo o finanziario agli account Facebook Business. Il malware viene distribuito in archivi .ZIP ospitati su piattaforme di condivisione file (ad es. mediafire[.]com), che si spacciano per software pirata o versioni gratuite di applicazioni Office, giochi, file di sottotitoli, file pornografici e altro.

Nell’ultima campagna il codice dannoso è uno script scritto in linguaggio PHP che lancia il codice utilizzato per rubare i dati dai browser delle vittime. Il codice malevolo è anche in grado di svuotare i portafogli di criptovaluta delle vittime, e prendere possesso dei loro account Facebook Business. Entrambi i casi discussi illustrano i rischi connessi all’utilizzo di software non ufficiali distribuiti attraverso canali alternativi.

“I permessi ottenuti dall’app consentono di infettare il dispositivo della vittima con il Trojan Triada. Secondo Kaspersky, negli ultimi due mesi sono stati presi di mira più di 3.600 utenti”

I criminali informatici sono sempre pronti a sfruttare qualunque opportunità, in passato ad esempio sono stati pubblicizzate app malevole come anteprima di versioni inesistenti di alcuni popolari giochi per specifiche piattaforme. Occorre essere sempre vigili, condividendo informazioni su queste pratiche utilizzate per infettare gli utenti è possibile ridurre drasticamente l’efficacia di queste compagne criminali.