Cheval de Troie mobile dangereux distribué via un module malveillant
Des chercheurs en sécurité ont détecté un acteur malveillant distribuant un cheval de Troie mobile voleur de données via une version usurpée de YoWhatsApp, une version modifiée relativement largement utilisée de l’application de messagerie WhatsApp.
Les utilisateurs qui téléchargent l’application risquent de se faire voler les détails de leur compte WhatsApp et de souscrire à des abonnements payants dont ils ne voulaient pas ou dont ils n’avaient même pas connaissance.
Les chercheurs de Kaspersky ont récemment détecté la menace et identifié le cheval de Troie comme étant Triada, un outil malveillant dont ils ont observé l’année dernière qu’il était distribué de manière similaire via une autre version malveillante de YoWhatsApp.
Les mods WhatsApp sont essentiellement des versions modifiées non officielles de l’application de médias sociaux vantant des caractéristiques et des fonctionnalités – telles qu’une confidentialité supplémentaire, des arrière-plans personnalisés et une messagerie groupée – que la version officielle ne possède pas. Étant donné que ces applications de réseaux sociaux modifiées ne sont pas officielles, elles ne sont pas disponibles sur les magasins d’applications mobiles officiels de Google et d’Apple. Les utilisateurs qui les souhaitent doivent donc les télécharger à partir de sources non officielles – une pratique que les experts en sécurité ont longtemps avertie comme étant particulièrement risquée. Cependant, les utilisateurs le font souvent quand même parce qu’ils voient que les fonctionnalités supplémentaires en valent la peine.
Un mod malveillant menace les utilisateurs professionnels
Dans un rapport publié cette semaine, Kaspersky a déclaré que ses chercheurs avaient observé que le mod malveillant WhatsApp était annoncé dans Snaptube, une application mobile légitime que des dizaines de milliers de personnes utilisent pour télécharger des vidéos depuis Facebook, YouTube et Instagram. Il s’agit d’une stratégie que Kaspersky a évaluée comme étant conçue pour donner de la crédibilité au mod malveillant.
« Étant donné que YoWhatsApp est annoncé dans l’application Snaptube utilisée par des centaines de milliers d’utilisateurs à travers le monde, beaucoup d’entre eux ne savent même pas que cela la modification pourrait être dangereuse« , selon Kaspersky.
En fait, il est fort probable que les propres développeurs de Snaptube ignorent qu’un acteur malveillant abuse de la fonctionnalité publicitaire de leur application pour colporter le mod malveillant YoWhatsApp, a déclaré le fournisseur de sécurité.
De plus, le mod malveillant est également disponible en téléchargement – sous le nom de « WhatsApp Plus » – via une boutique d’applications Android non officielle associée à Vidmate, une application mobile permettant de télécharger des vidéos YouTube.
Les organisations qui utilisent WhatsApp pour communiquer sur le lieu de travail devraient prêter attention à de telles menaces, déclare Anton Kivva, chercheur en sécurité chez Kaspersky, dans des commentaires sur Dark Reading. Un employé utilisant la version malveillante de YoWhatsApp pourrait finir par divulguer des informations commerciales sensibles ou voir son compte utilisé dans des escroqueries par phishing et pour envoyer du spam.
« En théorie, à en juger par les capacités techniques du cheval de Troie Triada, si des attaquants infectent un appareil mobile appartenant à l’entreprise, ils pourraient même pénétrer dans le réseau de l’entreprise et rechercher et voler des informations sensibles, y compris des secrets de développement commercial, ainsi que des données personnelles des employés. « , dit Kivva.
Impact potentiel sur les entreprises
Bien que WhatsApp soit avant tout une application axée sur le consommateur, son utilisation dans des environnements professionnels (avec des applications de messagerie cryptées similaires, telles que Signal et Telegram) s’est développée ces dernières années, en particulier avec le passage post-COVID à des modèles de travail à distance et hybrides.
La sortie de WhatsApp Business par WhatsApp, propriété de Facebook, en 2018, a également stimulé une grande partie de son utilisation, en particulier dans les contextes business-to-consumer (B2C). Par exemple, de nombreuses petites et moyennes entreprises utilisent des applications de messagerie pour engager leurs clients et les fidéliser à leur marque.
« De nombreux clients souhaitent avoir une interaction humaine en matière de service client, et les applications de messagerie comme celle-ci offrent un moyen simple d’y parvenir », explique Eugene Kolodenker, ingénieur en renseignement de sécurité chez Lookout.
Dans de nombreux lieux de travail, les employés s’appuient également sur le cryptage de bout en bout pour communiquer sur des sujets sensibles ou des problèmes commerciaux.
En tout, plus de 5 millions d’organisations utiliseraient la version professionnelle de l’application à des fins d’assistance client, de publicité et pour d’autres raisons. Ainsi, les criminels cherchent à cibler les entreprises avec des logiciels malveillants distribués via la plateforme.
« Les attaquants profitent souvent de l’attrait des nouvelles fonctionnalités de produits comme ce mod de messagerie WhatsApp pour inciter socialement les utilisateurs à télécharger des logiciels malveillants », explique Kolodenker. « Même si seulement quelques personnes téléchargent ce mod malveillant sur leur appareil, il peut quand même causer des dégâts, et les organisations qui ont mis en place des politiques BYOD (Bring-Your-Own-Device) doivent rester conscientes de la menace. »
Il est donc important pour les organisations d’avoir une visibilité sur les versions vulnérables des applications ou des systèmes d’exploitation sur les appareils des employés. « Les attaques mobiles peuvent provenir de canaux échappant au contrôle de votre équipe de sécurité, comme les SMS, les réseaux sociaux et les plateformes de messagerie tierces comme WhatsApp », explique Kolodenker.
Les mods malveillants ont toujours de graves conséquences tant pour les particuliers que pour les entreprises, ajoute Kivva. « Il est donc crucial d’être prudent lorsque vous téléchargez de nouvelles applications à partir de sites tiers », explique-t-il. « Le mod malveillant YoWhatsApp que nous avons découvert était annoncé sur l’application sécurisée Snaptube, mais cela ne l’a pas rendu moins dangereux pour les utilisateurs et n’a fait qu’augmenter le nombre de victimes potentielles. »