【勿亂下載】第三方WhatsApp模組含木馬程式 操控Android手機收錢兼發垃圾郵件
最近有研究人員在軟體開發套件(Software Development Kit, SDK)中,發現有專門針對流動裝置的自定義 WhatsApp 構建 Triada 惡意木馬程式。Triada 早於 2016 年被 Kaspersky 研究人員發現,如今再次出現,今次被發現隱藏於一個 WhatsApp 改良版應用程式、名為 FM WhatsApp 的應用程式的廣告組件中。
該惡意軟件為受害者帶來大量不需要的木馬病毒,最新版本的 Triada 會透過 SDK 安裝到手機上,並透過第三方 FM WhatsApp Android 應用程式中獲利。受影響版本為 FM WhatsApp 16.80.0,該應用程式只能以非官方的第三方應用程式商店獲得,允許用戶添加 Facebook 的 WhatsApp Messenger 功能。
Kaspersky 周二發表的報告中,研究人員就警告這個最新版本的 Triada 可充當有效載荷下載器,將多達六個額外的木馬應用程式注入 Android 手機,而這些應用程式可以執行許多惡意操作,包括彈出全屏廣告。研究人員提醒,不建議使用非官方發布的應用程式,特別是 WhatsApp 模組。Kaspersky 網絡安全專家 Igor Golovin 表示,受害者很可能會收到付費訂閱,甚至完全失去對帳戶控制權,攻擊者會劫持這些帳戶,用於如傳播以受害者名義發送的垃圾郵件。Golovin 指,用戶很難識別潛在的威脅,因為應用程式模組實際上有增加了所述的額外功能。
FM WhatsApp 的開發者 Foud Apps 沒有回覆事件,而目前亦未知該應用程式在 WhatsApp 用戶中的普及程度,而對最想使用的第三方 WhatsApp 模組的粗略審查並未列出 FM WhatsApp。
Kaspersky 於 2016 年首次發現 Triada,並這款木馬程式用戶難以查找和刪除,「幾乎不可見」,更形容為「我們的惡意軟件分析師遇過最先進的流動木馬程式之一」。2019 年 Google 的 Android 安全和隱私團隊將 Triada 標示為惡意軟件的例子,該惡意軟件可透過更新 Google Play Protect 來消除,並在文章中描述了該惡意軟件的演變過程。
據 Kaspersky 稱,Triada 今次通過嵌入在 FM WhatsApp(版本 16.80.0)中的惡意代碼,植入 Android 手機。當應用程式啟動時,透過嵌入在應用程式代碼中的長命令字符串觸發,令 Triada 惡意軟件啟動。與 Triada 類似的惡意軟件引起了研究人員的更多關注,因為愈來愈多人發現它預裝在廉價的手機上,並成為威脅行為者的後門。這些惡意投放的組件含有大量特洛伊木馬,讓犯罪分子能控制入侵設備。
早於 2019 年 Google 證實 Triada 具有此能力。最新版本的 Triada 同樣隱藏於手機的應用程式內,其功能甚至強化,背後的威脅行為者毋須依賴智能手機的 root 權限來提升權限,而是用了更先進的攻擊方法。Triada 一旦激活,惡意軟件就會使用 Android framework log function。這意味著每次任何應用程式嘗試記錄某些內容時,都會調用一個函數並啟動 Triada 代碼,從而允許木馬在任何應用程式中的運行代碼。