Beware of More Than 340,000 Malicious WhatsApp Mod Attacks

Beware of More Than 340,000 Malicious WhatsApp Mod Attacks

WhatsApp Illustration (Pexels.com/Anton)

Suara.com - Kaspersky researchers recently discovered a dangerous new WhatsApp spy mod, which is now expanding on another popular messenger, Telegram. 

While these modifications fulfill their intended purpose by expanding the user experience, they also secretly collect personal information from their victims. Surpassing 340,000 attacks in just one month, the malware predominantly targets users communicating in Arabic and Azeri, although its victims have been identified globally. Users often turn to third-party mods for popular messaging apps to add additional features. 

However, some of these mods, apart from improving functionality, also come with hidden malware. 
Kaspersky has identified a new WhatsApp mod that not only offers additions such as scheduled messages and customizable options, but also contains a malicious spyware module. 

Dangerous WhatsApp mods. [Kaspersky]

The modified WhatsApp client manifest file includes suspicious components (services and
broadcast receiver) which was not present in the original version. 
The receiver starts the service, launching the spy module when the phone is turned on or charged. 

Once activated, the malicious implant sends requests containing device information to the attacker's server. 
This data includes IMEI, phone number, country and network code, and more. 

It also sends the victim's contact and account details every five minutes and is capable of setting microphone recording to extracting files from external storage. These malicious versions spread through popular Telegram channels, which mostly target Arabic and Azeri speakers, with some of the channels having nearly two million subscribers. Kaspersky researchers have informed Telegram about this issue. Kaspersky telemetry identified more than 340,000 attacks involving this mod last October alone. 
This threat appeared relatively recently and was active in mid-August 2023. 

Malware Illustration (Pexel.com/solarseven)

Azerbaijan, Saudi Arabia, Yemen, Turkey and Egypt had the highest attack rates. Although the preference is skewed towards Arabic and Azerbaijani speaking users, it also impacts individuals from the United States, Russia, United Kingdom, Germany, and other countries. 
Kaspersky products detect Trojans with the following verdict Trojan-Spy.AndroidOS.CanesSpy. 

“People naturally trust apps from widely followed, but fraudulent sources exploit this trust," said Dmitry Kalinin, security expert at Kaspersky in his official statement, Sunday (12/11/2023). According to him, the spread of malicious mods through popular third-party platforms highlights the importance of using official IM clients. 

However, he adds, if you need some additional features not presented in the original client, consider using a reputable security solution before installing third-party software, as this will protect the data from tampering. 
"For strong personal data protection, always download applications from official app stores or official websites," said Dmitry Kalinin. 



Waspadai Lebih dari 340.000 Serangan Mod WhatsApp Berbahaya

Ilustrasi WhatsApp (Pexels.com/Anton)

Suara.com - Peneliti Kaspersky baru-baru ini menemukan mod mata-mata WhatsApp baru yang berbahaya, yang kini berkembang di messenger populer lainnya, Telegram.

Meskipun modifikasi tersebut memenuhi tujuan yang dimaksudkan dengan memperluas pengalaman pengguna, modifikasi tersebut juga secara diam-diam mengumpulkan informasi pribadi dari para korbannya.
Melampaui 340.000 serangan hanya dalam satu bulan, malware ini sebagian besar menargetkan pengguna yang berkomunikasi dalam bahasa Arab dan Azeri, meskipun korbannya telah teridentifikasi secara global. Pengguna sering kali beralih ke mod pihak ketiga untuk aplikasi perpesanan populer guna menambahkan fitur tambahan.

Namun, beberapa mod ini, selain meningkatkan fungsionalitas, juga disertai malware tersembunyi.
Kaspersky telah mengidentifikasi mod WhatsApp baru yang tidak hanya menawarkan tambahan seperti pesan terjadwal dan opsi yang dapat disesuaikan, namun juga berisi modul spyware berbahaya.

Mod WhatsApp berbahaya. [Kaspersky]

File manifes klien WhatsApp yang dimodifikasi menyertakan komponen mencurigakan (layanan dan
broadcast receiver) yang tidak ada dalam versi aslinya. Penerima memulai layanan, meluncurkan modul mata-mata (spy) saat telepon dihidupkan atau diisi dayanya.

Setelah diaktifkan, implant berbahaya mengirimkan permintaan berisi informasi perangkat ke server penyerang. Data ini mencakup IMEI, nomor telepon, kode negara dan jaringan, dan banyak lagi.

Ini juga mengirimkan kontak korban dan rincian akun setiap lima menit serta mampu mengatur rekaman mikrofon hingga mengekstrak file dari penyimpanan eksternal.
Versi berbahaya ini menyebar melalui saluran Telegram populer, yang sebagian besar menargetkan penutur bahasa Arab dan Azeri, dengan beberapa saluran tersebut memiliki hampir dua juta pelanggan.

Peneliti Kaspersky telah menginformasikan Telegram tentang masalah ini. Telemetri Kaspersky mengidentifikasi lebih dari 340.000 serangan yang melibatkan mod ini hanya pada Oktober lalu.
Ancaman ini muncul relatif baru dan aktif pada pertengahan Agustus 2023.

Ilustrasi Malware (Pexel.com/solarseven)

Azerbaijan, Arab Saudi, Yaman, Turki, dan Mesir memperoleh tingkat serangan tertinggi. Meskipun preferensinya condong pada pengguna berbahasa Arab dan Azerbaijan, hal ini juga berdampak pada individu dari Amerika Serikat, Rusia, Inggris, Jerman, dan negara-negara lain.
Produk Kaspersky mendeteksi Trojan dengan putusan berikut Trojan-Spy.AndroidOS.CanesSpy.

“Orang-orang secara alami memercayai aplikasi dari sumber yang banyak diikuti, namun penipu
mengeksploitasi kepercayaan ini," ujar Dmitry Kalinin, pakar keamanan di Kaspersky dalam keterangan resminya, Minggu (12/11/2023).
Menurutnya, penyebaran mod berbahaya melalui platform pihak ketiga yang populer menyoroti pentingnya untuk menggunakan klien IM resmi.

Namun, dia menambahkan, jika memerlukan beberapa fitur tambahan yang tidak disajikan di klien orisinil, pertimbangkan untuk menggunakan solusi keamanan yang memiliki reputasi baik sebelum memasang perangkat lunak pihak ketiga, karena ini akan melindungi data dari gangguan. "Untuk perlindungan data pribadi yang kuat, selalu unduh aplikasi dari toko aplikasi resmi atau situs web resmi," ungkap Dmitry Kalinin.

Post a Comment

0 Comments