WhatsApp的Android版本被植入Triada木马并二次打包分发

适用于 Android 的 WhatsApp 消息应用程序的修改版本已被植入木马，以散播恶意攻击载荷、显示全屏广告以及在设备所有者不知情的情况下为他们注册不需要的订阅服务。

俄罗斯网络安全公司卡巴斯基的研究人员在周二发表的一篇技术文章中说： “特洛伊木马 Triada 与广告软件开发工具包 (SDK) 一起潜入了其中一个名为 FMWhatsApp 16.80.0 的 Messenger 修改版本。” “这与 APKPure 发生的情况类似，应用程序中嵌入的唯一恶意代码是有效载荷下载器。”

合法 Android 应用程序的修改版本 – 又名 Modding – 旨在执行应用程序开发人员最初构想或不打算执行的功能，而 FMWhatsApp 允许用户使用不同的主题自定义应用程序、个性化图标并隐藏上次看到的功能，甚至停用视频通话功能。

卡巴斯基检测到的被篡改的应用程序变种配备了收集唯一设备标识符的功能，这些标识符被发送到远程服务器，该服务器返回一个指向负载的链接，该负载随后由 Triada 木马下载、解密和启动。

就其本身而言，有效载荷可用于执行广泛的恶意活动，从下载附加模块和显示全屏广告到秘密订阅受害者订阅高级服务以及在设备上登录 WhatsApp 帐户。更糟糕的是，攻击者可以劫持并控制 WhatsApp 帐户以进行社会工程攻击或分发垃圾邮件，从而将恶意软件传播到其他设备。

研究人员说：“值得强调的是，FMWhatsapp 用户授予应用程序读取他们的 SMS 消息的权限，这意味着木马及其加载的所有其他恶意模块也可以访问它们。” “这允许攻击者自动为受害者注册高级订阅，即使需要确认代码才能完成该过程。”