Kısa süre önce popüler WhatsApp modu FMWhatsApp’ın bir sürümünde yerleşik bir Truva Atı bulunduğunu keşfettik. Triada adındaki bu Truva atı, diğer kötü amaçlı yazılımları kullanıcıların cihazlarına indiriyor. İşte bunun nasıl yapıldığı ve WhatsApp’ın değiştirilmiş sürümlerini kullanmanın tehlikeli olmasının nedenleri.
Neden WhatsApp modları kullanılıyor?
Kullanıcıların hepsi resmi WhatsApp uygulamasından memnun değil. Bazıları, kendi kendini imha eden mesajlar gönderebilmeyi veya tam tersi, başka bir kullanıcının sildiği mesajları görüntüleyebilmeyi istiyor. Diğer bazı kullanıcılar dinamik temalar peşindeyken ve bazıları ise belirli yazışmaları sohbet listesinden gizlemeyi veya mesajları otomatik olarak çevirmek istiyor.
Doğal olarak bu özellikleri, WhatsApp’ın geliştiricilerinin uygulamaya dahil etmelerini beklemeden, hemen kullanmak istiyorlar. Bunun sonucunda bazı kullanıcılar, oldukça fazla sayıdaki, bulunması zor olmayan değiştirilmiş çevrimiçi WhatsApp istemcilerine yöneliyor.
WhatsApp’ın bu tür değişiklikler konusunda ara sıra yaptığı baskılar veya hesap yasaklama tehditleri bile Mod hayranlarını caydıramıyor.
WhatsApp modu geliştirenler de genellikle, kullanıcıların aradığı özelliklerle birlikte modun içine — anlaşılabilir şekilde — reklamlar yerleştiriyor. Ancak buradaki sorun, kötü niyetli kodların geliştiricilerin radarına girebileceği üçüncü taraf reklam modüllerini kullanmalarından kaynaklanıyor.
FMWhatsApp modundaki Triada ve diğer Truva atları
Popüler bir WhatsApp modu olan FMWhatsApp’ta da olan tam olarak buydu. 16.80.0 sürümünde geliştiriciler, Truva Atı içeren üçüncü taraf reklam modülünü kullandılar. Mobil antivirüs çözümümüz bu kötü amaçlı yazılımı Trojan.AndroidOS.Triada.ef olarak algılıyor.
Benzer bir durumu, 2021 baharında, geliştiricileri doğrulanmamış bir kaynağa ait reklam modülü kullanan ve böylece geliştirdikleri uygulama mağazasına ve dolayısıyla kullanıcılara Triada Truva Atı bulaştıran (biraz farklı bir sürümü olsa da), resmi olmayan APKPure uygulama mağazasında gördük.
Virüs bulaşmış APKPure’da olduğu gibi, FMWhatsApp modunun tehlikeli versiyonundaki Triada Truva Atı da bir aracı işlevi görüyor. Önce kullanıcının cihazı hakkında veri topluyor ve ardından bu bilgilere bağlı olarak başka bir Truva Atı indiriyor.
Triada beraberinde, çok çeşitli nitelikteki “ekstraları” getiriyor — FMWhatsApp’ın virüslü sürümü, cihazlara çeşitli kötü amaçlı yazılım türleri indiriyor:
- Diğer kötü amaçlı modülleri indiren ve çalıştıran bir Truva Atı olan Trojan-Downloader.AndroidOS.Agent.ic,
- Diğer kötü amaçlı modülleri indirip çalıştıran ve ayrıca beklenmedik anlarda tam ekran reklam gösterebilen Trojan-Downloader.AndroidOS.Gapac.e,
- xHelper Truva atının yükleyici modülünü indirip çalıştıran ve arka planda görünmez reklamlar çalıştıran Trojan-Downloader.AndroidOS.Helper.a,
- Ücretli aboneliklere kaydolan Trojan.AndroidOS.MobOk.i truva atı,
- Ücretli aboneliklere kaydolan bir diğer Truva atı Trojan.AndroidOS.Subscriber.l,
- Kurbanın telefonundaki WhatsApp hesabında oturum açan ve oturum açma onay metnini ele geçiren, listedeki en karmaşık Truva atı Trojan.AndroidOS.Whatreg.b. Cihaz daha sonra spam dağıtımı veya yasa dışı ticaret gibi çeşitli yasa dışı faaliyetler için bir site haline gelebiliyor.
Securelist’te paylaşığımız yazıda, FMWhatsapp modunun Triada Truva Atı hakkında daha fazla bilgi yer alıyor.
Bu tür saldırılara karşı kendinizi nasıl savunursunuz?
Dikkatli olmak ve cihazınızı güvenli bir şekilde kullanmak, kötü amaçlı yazılımları ve diğer mobil zararlıları telefonunuzdan uzak tutma konusunda kilit rol oynar. Genel anlamda konuşursak, sorun yaşamamak için şu ipuçlarını izleyin:
- Resmi olmayan kaynaklardan uygulama yüklemekten kaçının ve cihazınızın ayarlarından, bu kaynaklardan uygulama yüklenebilmesine ilişkin izni kapatın. (Resmi bir mağaza dışından bir uygulama yüklemeniz gerekiyorsa, bu izni geçici olarak etkinleştirin ve ardından tekrar devre dışı bırakın),
- Yalnızca resmi mesajlaşma uygulamalarını kullanın ve bunları yalnızca resmi uygulama mağazalarından indirin — bazı özelliklerden yoksun olabilirler ancak en azından virüslerin telefonunuzu sarmasına neden olmazlar,
- Yüklü uygulamalara hangi izinleri verdiğinizi kontrol edin — bazı izinler gerçek bir tehdit oluşturabilir,
- Telefonunuza güvenilir bir mobil antivirüs uygulaması yükleyin ve uygulamanın yaptığı uyarıları dikkate alın.