idNSA.id - Versi modifikasi dari aplikasi WhatsApp untuk Android telah di-trojan untuk mencegat pesan teks, menyajikan muatan berbahaya, menampilkan iklan layar penuh, dan mendaftarkan pemilik perangkat untuk langganan premium yang tidak diinginkan tanpa sepengetahuan.
"The Trojan Triada menyelinap ke salah satu versi modifikasi, disebut FMWhatsApp 16.80.0 bersama-sama dengan kit pengembangan perangkat lunak iklan (SDK)," peneliti dari perusahaan keamanan cyber Rusia Kaspersky mengatakan dalam sebuah write-up teknis. "Ini mirip dengan apa yang terjadi dengan APKPure , di mana satu-satunya kode berbahaya yang disematkan di aplikasi adalah pengunduh payload."
Versi modifikasi dari aplikasi Android yang sah — praktik yang disebut Modding — dirancang untuk melakukan fungsi yang awalnya tidak dirancang atau dimaksudkan oleh pengembang aplikasi.
FMWhatsApp, ditagih sebagai versi kustom WhatsApp, memungkinkan pengguna untuk mengubah aplikasi dengan tema yang berbeda, mempersonalisasi ikon, dan menyembunyikan fitur seperti yang terakhir terlihat, dan bahkan menonaktifkan fitur panggilan video. Aplikasi ini hanya tersedia melalui situs web pihak ketiga.
Varian aplikasi yang dirusak yang terdeteksi oleh Kaspersky dilengkapi dengan kemampuan untuk mengumpulkan pengidentifikasi perangkat unik, yang dikirim ke server jarak jauh yang merespons kembali dengan tautan ke muatan yang kemudian diunduh, didekripsi, dan diluncurkan oleh trojan Triada.
Payload, dapat digunakan untuk melakukan berbagai aktivitas jahat mulai dari mengunduh modul tambahan dan menampilkan iklan layar penuh hingga secara diam-diam berlangganan korban ke layanan premium dan masuk ke akun WhatsApp di perangkat. Lebih buruk lagi, penyerang dapat membajak dan mengendalikan akun WhatsApp untuk melakukan serangan rekayasa sosial atau mendistribusikan pesan spam, sehingga menyebarkan malware ke perangkat lain.
"Perlu digarisbawahi bahwa pengguna FMWhatsapp memberikan izin aplikasi untuk membaca pesan SMS, yang berarti bahwa Trojan dan semua modul jahat lebih lanjut yang dimuatnya juga mendapatkan akses ke sana," kata para peneliti. "Ini memungkinkan penyerang untuk secara otomatis mendaftarkan korban untuk berlangganan premium, bahkan jika kode konfirmasi diperlukan untuk menyelesaikan proses."
