android

Des mods pour WhatsApp infectés par des logiciels espions

Nos chercheurs ont découvert des modifications de WhatsApp infectées par des logiciels espions diffusées via des canaux Telegram et des sites Internet contenant des mods pour WhatsApp.

Kaspersky Team
27 Nov 2023

Au cours de la dernière décennie, les applications de messagerie telles que WhatsApp et Telegram sont devenues une partie intégrante de la vie de presque tous les internautes. Des milliards de personnes utilisent ces applications pour discuter avec leurs proches, partager des photos et des vidéos amusantes avec leurs amis, communiquer avec leurs collègues, se tenir au courant de l’actualité, etc. Essayez d’imaginer la vie moderne sans ces applications de messagerie. Difficile, n’est-ce pas ? Malheureusement, ces applications indispensables contiennent parfois des menaces cachées.

Mods pour WhatsApp et Telegram : le pourquoi et le comment

Certaines personnes pensent que les applications officielles WhatsApp et Telegram manquent de fonctionnalités – qu’il s’agisse d’options supplémentaires pour personnaliser l’interface ou de fonctions spécifiques ; par exemple, la possibilité de masquer les discussions, de traduire automatiquement les messages ou de consulter les messages supprimés par les interlocuteurs. Et la liste des fonctionnalités « manquantes » est très longue.

Des développeurs tiers créent des modifications ou des mods des applications WhatsApp et Telegram standard pour satisfaire les besoins les plus particuliers des utilisateurs, et ces mods sont très nombreux.

Le problème avec leur installation est que l’utilisateur doit confier sa correspondance non seulement aux développeurs de la messagerie, mais aussi aux développeurs du mod, qui peuvent facilement y cacher des modules malveillants ; les distributeurs de mods peuvent également ajouter des éléments de leur choix.

Dans le cas de WhatsApp, la situation avec les mods est davantage compliquée par les propriétaires de l’entreprise. Ils n’approuvent pas les modifications et entravent leur diffusion. De temps en temps, les propriétaires de WhatsApp essaient d’interdire aux utilisateurs d’utiliser des mods, mais sans succès jusqu’à présent. Entre-temps, ils ont réussi à empêcher les clients alternatifs de WhatsApp de se retrouver sur les plateformes officielles telles que Google Play et App Store.

Par conséquent, les utilisateurs des mods pour WhatsApp sont habitués à les télécharger à peu près n’importe où. Les fichiers APK sont audacieusement téléchargés, les paramètres sont modifiés pour autoriser l’installation à partir de sources inconnues, puis les mods sont exécutés sur les téléphones. Les cybercriminels exploitent cette imprudence en intégrant des programmes malveillants dans les modules.

Nos experts ont récemment découvert plusieurs mods infectés, et nous allons les examiner dans cet article.

Mods pour WhatsApp infectés sur Telegram

Les mods pour WhatsApp qui ont retenu l’attention de nos experts n’avaient jusqu’à présent montré aucune activité malveillante. Toutefois, ils contiennent désormais un module espion qui est détecté comme Trojan-Spy.AndroidOS.CanesSpy par nos solutions de sécurité.

Après l’installation sur le smartphone de la victime, un mod WhatsApp infecté attend que le téléphone soit allumé ou mis en charge pour lancer le module d’espionnage. Il contacte l’un des serveurs C2 de la liste correspondante et charge diverses informations de l’appareil, telles que le numéro de téléphone, l’IMEI, le code du réseau mobile, etc. De plus, le cheval de Troie espion envoie au serveur des informations relatives aux contacts et aux comptes de la victime toutes les cinq minutes dans l’attente de commandes.

Si l’on fait abstraction des commandes de service, les capacités du module d’espionnage se réduisent essentiellement à deux fonctions :

Parcourir les données de l’appareil et envoyer à ses opérateurs les fichiers contenus dans la mémoire du smartphone (pour être plus précis, dans sa partie non système, ou le « stockage externe » dans la terminologie Android)
Enregistrer le son avec le microphone intégré et, comme auparavant, envoyer les enregistrements aux serveurs C2

En ce qui concerne la façon dont le logiciel espion a été diffusé, des modifications infectées de WhatsApp ont été trouvées sur plusieurs canaux Telegram arabes et azéris sous les noms de mods populaires suivants : GBWhatsApp, WhatsApp Plus et AZE PLUS – une version de WhatsApp Plus avec l’interface traduite en azéri.

Mods pour WhatsApp infectés disponibles sur les canaux Telegram

Les mods pour WhatsApp infectés par des logiciels espions ont été principalement diffusés sur des canaux Telegram en azéri et en arabe

De plus, nos experts ont découvert des fichiers APK infectés par le module espion sur des sites de téléchargement de mods pour WhatsApp.

En octobre, nos solutions de sécurité ont détecté et empêché plus de 340 000 attaques de ce logiciel espion dans plus de 100 pays. Notez qu’il s’agit des attaques interceptées par nos solutions. Le nombre total d’attaques (qui prend en compte les téléphones sur lesquels nos solutions ne sont pas installées) est probablement beaucoup plus élevé.

Bien que la menace soit géographiquement étendue, l’Azerbaïdjan est le pays qui a enregistré de loin le plus grand nombre de tentatives d’infection, suivi par plusieurs pays arabes : Arabie saoudite, Yémen et Égypte ; ainsi que la Turquie.

Répartition géographique des tentatives d'infection par Trojan-Spy.AndroidOS.CanesSpy

Top 20 des pays où les mods d’espionnage WhatsApp ont été distribués

Comment vous protéger contre les logiciels espions de messagerie ?

Il ne s’agit pas du premier cas en 2023 de détection de modules malveillants dans des applications de messagerie modifiées. Il y a quelques mois, nous avions écrit un article à propos d’une chaîne de mods infectés pour Telegram, WhatsApp et même la messagerie sécurisée Signal. Il est donc nécessaire de rester vigilant :

Utilisez uniquement les applications officielles WhatsApp et Telegram. Comme nous l’avons vu, les mods de messagerie sont susceptibles d’être infectés par des programmes malveillants.
Installez les applications uniquement depuis les plateformes officielles : Apple App Store, Google Play, Huawei AppGallery, etc. Celles-ci ne sont pas à l’abri des programmes malveillants, mais restent beaucoup plus sûres que les sites tiers, qui ne prévoient souvent aucune mesure de sécurité.
Avant d’installer une application, étudiez sa page sur la plateforme afin de s’assurer qu’il ne s’agit pas d’une fausse application. Les acteurs malveillants créent souvent des clones des applications populaires.
Lisez les avis des utilisateurs sur l’application, en accordant une attention particulière aux avis négatifs. Vous y découvrirez probablement si l’application présente une activité suspecte.
Assurez-vous d’installer une protection fiable sur tous vos appareils. Elle détectera le code malveillant à l’intérieur d’une application en apparence anodine et vous en avertira à temps.
N’oubliez pas que dans la version gratuite de notre application Kaspersky for Android, vous devez lancer l’analyse manuellement.
Si vous utilisez la version premium de notre protection pour Android qui est incluse dans les abonnements Kaspersky Standard, Kaspersky Plus, et Kaspersky Premium, vous pouvez vous détendre : l’analyse des menaces est réalisée automatiquement.

Cinq technologies de Kaspersky pour protéger vos finances

Comment les produits Kaspersky vous offrent une protection de vos finances à plusieurs niveaux et les menaces contre lesquelles ils vous protègent.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Des mods pour WhatsApp infectés par des logiciels espions

Mods pour WhatsApp et Telegram : le pourquoi et le comment

Mods pour WhatsApp infectés sur Telegram

Comment vous protéger contre les logiciels espions de messagerie ?

L’historique des positions Google est désormais stocké hors ligne… n’est-ce pas ?

Paramètres restreints sous Android 13 et 14

Cinq technologies de Kaspersky pour protéger vos finances

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky