Otra modificación de WhatsApp, conocida como YoWhatsApp, ha resultado ser maliciosa ya que descarga en los smartphones el troyano Triada. Este muestra anuncios, suscribe al usuario a contenidos de pago sin su consentimiento y roba cuentas de WhatsApp. ¿Cómo ha ocurrido esto y qué podemos aprender de ello?

No juegues con fuego. Unas sencillas reglas de ciberseguridad

La regla más importante de la seguridad de la información es, probablemente, reducir los riesgos. Para esto:

  • No visites páginas web sospechosas; pueden contener anuncios maliciosos o enmascarar una estafa de phishing.
  • Evita descargar versiones piratas de programas a través de torrents. Si lo haces, es probable que, por ejemplo, los cracks contengan un troyano ladrón de contraseñas.
  • No hagas clic en los enlaces que se incluyan en correos electrónicos procedentes de direcciones desconocidas y no abras los archivos adjuntos: podría haber todo tipo de malware esperándote.

Esa es la idea principal: ser cuidadoso es de gran ayuda para estar protegido contra las ciberamenazas.

A su vez, sigue siendo importante mantener el antivirus activado y actualizado, lo que supone un seguro por si pasa algo. No tientes al destino al “ir por un callejón oscuro a altas horas de la madrugada” pero en su versión online. Aplicar un poco de sentido común puede reducir en gran medida las posibilidades de ser una víctima de los estafadores.

Además de las medidas que hemos mencionado para reducir el riesgo de que pase algo malo, debemos añadir una más: no descargar aplicaciones móviles desde fuentes no oficiales. Google y Apple verifican las aplicaciones antes de añadirlas a sus tiendas, por lo que las posibilidades de encontrar malware en ellas son escasas, aunque no nulas (especialmente en el caso de Google Play). Huawei hace lo mismo con su tienda Huawei AppGallery, aunque también ahí se ha encontrado malware. Pero la posibilidad de encontrar malware en plataformas abiertas que te permiten simplemente descargar un archivo APK es mucho mayor.

Hay otra regla de seguridad clave: no uses clientes no oficiales para aplicaciones de mensajería. Para entender por qué esto es importante, retrocedamos unos pasos y observemos un poco más de cerca cómo funcionan estas aplicaciones de mensajería.

La mayoría de ellas operan de acuerdo con el modelo cliente-servidor, en el que el usuario interactúa directamente con la aplicación cliente. El intercambio de datos entre el cliente y el servidor se produce mediante un protocolo especial. En muchas aplicaciones de mensajería, este protocolo está abierto. Esto posibilita crear clientes no oficiales modificados añadiendo funciones adicionales como: ver los mensajes que otros usuarios han eliminado, crear correos masivos, personalizar la interfaz, etc.

Entonces, ¿dónde está el peligro? Con los clientes oficiales, dejas tu correspondencia únicamente en manos del creador de la aplicación de mensajería. Cuando utilizas un cliente no oficial, no solo le confías tus mensajes a los desarrolladores del sistema de mensajería, sino también a los desarrolladores de la aplicación del cliente no oficial. Además de esto, el cliente modificado puede ser distribuido mediante fuentes no oficiales (en las que, como hemos dicho, no debemos confiar). Todos estos son pasos adicionales en los que algo puede salir mal; es decir, hay más riesgos.

¿Qué pasa, Triada?

Naturalmente, algo salió mal, y se ha repetido la misma situación sobre la que escribimos el año pasado. En resumen: en aquel entonces, los atacantes infectaron el mod FMWhatsapp con un dropper que descargaba Triada, un troyano multifuncional, en los dispositivos de los usuarios. Este troyano modular principalmente muestra anuncios y registra al usuario a contenido de pago.

Esta vez ha pasado prácticamente lo mismo, con la misma aplicación de mensajería, pero con un cliente no oficial diferente. Ahora, el mod YoWhatsApp, también conocido como YoWA, ha sido infectado. Este mod atrae a los usuarios con funciones como: mejores opciones de privacidad, la capacidad de transferir archivos de hasta 700 MB, mayor velocidad, entre otras.

Aparentemente, YoWhatsApp llamó la atención de los distribuidores de malware porque su base de usuarios es muy significativa. Además, el hecho de que el mod no estuviera permitido en Google Play jugó a favor de los delincuentes. Por esto, los usuarios están acostumbrados a descargar YoWhatsApp de fuentes con distintos grados de fiabilidad. Uno de los principales canales de distribución de la versión infectada de este mod fue la publicidad en SnapTube, una aplicación para descargar audio y vídeo. Los propietarios de SnapTube probablemente ni siquiera sospecharon que una de sus campañas publicitarias estaba propagando malware.

Además de YoWhatsApp infectado, los usuarios también recibieron un dropper que envió el troyano Triada a su dispositivo. A diferencia de la campaña del año pasado, esta vez el dropper no fue lo único que vino con el troyano. También se añadió una función adicional a YoWhatsApp que permite a los intrusos robar las claves necesarias para que WhatsApp funcione. Estas claves son suficientes para secuestrar una cuenta y usarla para hacer cosas como distribuir malware o extraer dinero de los contactos de la víctima.

Como consecuencia de ello, el usuario no solo pierde dinero, ya que Triada lo registra en suscripciones de pago, sino que también corre el riesgo de comprometer a sus contactos, a quienes los delincuentes pueden intentar escribir en nombre del usuario.

¿Cómo protegerse del malware en Android?

En primer lugar, la mejor forma de luchar contra el malware es evitando situaciones en las que tu dispositivo pueda acabar infectado. En este caso, hay tres sencillas reglas que puedes seguir para protegerte:

  • No descargues aplicaciones de fuentes desconocidas. De hecho, lo mejor es que bloquees en tu smartphone Android la posibilidad de instalar aplicaciones desde plataformas que no sean Google Play.
  • No instales aplicaciones de mensajería de clientes alternativos. Aunque las versiones oficiales de las aplicaciones no siempre son perfectas, son mucho más fiables y seguras.
  • Usa una buena protección y mantenla siempre activada. Kaspersky para Android puede detectar diferentes modificaciones del troyano Triada además de otros tipos de malware de Android y bloquearlos antes de que puedan causar estragos. Ten en cuenta que, con la versión gratuita de nuestra protección móvil, debes ejecutar el análisis de forma manual cada vez que descargues o instales algo nuevo. La versión completa escanea automáticamente cada nueva aplicación.

Fuente info
Autor: