Recientemente la empresa Kaspersky descubrió una versión maliciosa de un popular mod de WhatsApp Messenger (la cual es una modificación no oficial de la aplicación) esta se llamada FMWhatsApp. Este mod propaga el troyano para móviles Triada, que a su vez descarga otros troyanos y que puede desplegar anuncios publicitarios, emitir suscripciones e interceptar los mensajes SMS del usuario.
Según la empresa de antivirus entre enero de 2020 y agosto de 2021, han detectado ese troyano en países de la región, siendo México y Brasil las naciones más afectadas con 2,474 y 2,327 detecciones, respectivamente.
Dentro de los demás países afectados de la región se encuentran Venezuela (690), Colombia (636), Perú (362), Argentina (311), Ecuador (226) y Chile (160).
Como todos sabemos WhatsApp es una de las aplicaciones de mensajería instantánea móvil más populares, aunque no todos los usuarios están satisfechos con sus funciones. Al intentar buscar otras aplicaciones o buscar mejorías , se puede caer en la tentación de instalar versiones modificadas de WhatsApp, que ofrezcan muchas más funcionalidades que la versión oficial (como la de seleccionar plantillas dinámicas o la posibilidad de leer mensajes eliminados).
Cuando esto sucede, los creadores suelen publicar diversos anuncios para monetizar su trabajo. Sin embargo, también existen ciberdelincuentes que se aprovechan de eso y que distribuyen códigos maliciosos por medio de estos anuncios. Un ejemplo es la versión 16.80.0 de FMWhatsapp, que incluye el troyano Triada y una de las bibliotecas de anuncios.
En esta versión del mod FMWhatsapp, el troyano Triada actúa como mediador. Primero, recopila datos sobre el dispositivo móvil del usuario y después, cuando el propietario da la orden, descarga otros troyanos al dispositivo. Los troyanos pueden desplegar anuncios de forma independiente, emitir suscripciones de paga al dispositivo del usuario, e incluso iniciar sesión en la cuenta de WhatsApp e interceptar los mensajes de SMS para confirmar el inicio de sesión, lo que deja a la víctima vulnerable frente a actividades ilegales a través de su teléfono.
Al ser descargado por Triada, el troyano MobOk abre una página de suscripción en una ventana invisible y hace clic por el usuario en el botón “Suscribirse”
Es muy difícil que con esta aplicación, los usuarios reconozcan la gravedad de esta amenaza, porque si bien el mod si realiza su propósito, que es el de agregar funciones adicionales y fueron solicitadas por el usuario. Pero se ha observado cómo los piratas han comenzado a propagar archivos maliciosos a través de los anuncios de estas.
Por todo lo anterior y como lo hemos comentado en otros artículos , se recomienda siempre descargar software de lugares autorizados y sitios oficiales y no dejarse engañar por sitios que prometen nuevas funcionalidades sin estas avaladas por los fabricantes originales.
