Un nuevo malware que se propaga a través de WhatsApp y busca engañar a posibles víctimas invitandolas a descargar una aplicación de un sitio web que simula ser Google Play. El investigador de malware de ESET, Lukas Stefanko, analizó la amenaza dirigida a usuarios de Android.
“Este malware se propaga a través del WhatsApp de la víctima, respondiendo automáticamente ante cualquier notificación de mensaje de WhatsApp con un enlace a una falsa aplicación móvil y maliciosa de Huawei”, dijo Stefanko. Los responsables de este malware, que fue reportado por primera vez por el usuario de Twitter @ReBensk, parecen tener como objetivo generar ingresos de forma fraudulenta a través anuncios publicitarios.
Android WhatsApp Worm?
Malware spreads via victim's WhatsApp by automatically replying to any received WhatsApp message notification with a link to malicious Huawei Mobile app.
Message is sent only once per hour to the same contact.
It looks to be adware or subscription scam. https://t.co/NYbh2A9Y6M pic.twitter.com/2tFgLyG94O— Lukas Stefanko (@LukasStefanko) January 21, 2021
Para instalar la aplicación maliciosa, se solicita a los usuarios que permitan la instalación de aplicaciones desde sitios que no sean la tienda oficial Google Play, eliminando así una barrera de seguridad que en dispositivos Android viene habilitada por defecto.
Una vez que se completa el proceso de instalación, la aplicación solicita una serie de permisos, incluido el acceso a notificaciones, que en combinación con la función de respuesta directa de Android se utiliza para obtener la capacidad de propagarse.
“Combinando estas dos características, el malware puede responder eficazmente con un mensaje personalizado a cualquier mensaje de WhatsApp que llega al dispositivo”, dijo Stefanko. Luego, el malware se ejecuta en segundo plano hasta que obtiene una respuesta del servidor mientras espera un mensaje de notificación de WhatsApp que luego utiliza para distribuir el enlace malicioso a los contactos de la víctima.
La aplicación maliciosa también solicita otros permisos, incluso para "dibujar sobre otras aplicaciones", lo que le permite superponerse sobre cualquier otra aplicación que se esté corriendo en el dispositivo, e ignorar la optimización de la batería, logrando así ejecutarse en segundo plano y evitar que el sistema finalice el proceso, incluso si empieza a consumir la batería y los recursos del dispositivo.
“El malware con características de gusano se propaga a través de mensajes a los contactos de WhatsApp solo cuando pasó más de una hora desde el envío del último mensaje que recibió la víctima”, explicó Stefanko, agregando que cree que esto se hace para no levantar sospechas entre los contactos de la víctima, ya que recibir un enlace como respuesta a cada mensaje podría hacer sonar las alarmas.
Actualmente, la aplicación parece usarse principalmente en una campaña de adware o de estafa de suscripción, aunque podría usarse para hacer un daño mayor. “Este malware posiblemente podría distribuir amenazas más peligrosas ya que el texto del mensaje y el enlace a la aplicación maliciosa se reciben del servidor del atacante. Simplemente podría distribuir troyanos bancarios, ransomware o spyware”, dijo Stefanko.
Para protegerse, los mejores consejos son: evitar hacer clic en enlaces sospechosos, descargar aplicaciones solo de Google Play y utilizar una solución de seguridad confiable.