Attenti a YoWhatsApp: ruba le chiavi d'accesso e offre il controllo dell'account a terzi

Gli esperti di sicurezza di Kaspersky hanno individuato una nuova versione custom di WhatsApp per Android, ovviamente non ufficiale, che ruba le chiavi di accesso dell'account in uso. Si chiama YoWhatsApp ed è un'app di messaggistica perfettamente funzionante che utilizza le stesse autorizzazioni dell'app originale e che viene promossa attraverso banner su app Android celebri (come Snaptube e Vidmate).

L'applicazione include funzionalità aggiuntive rispetto al client WhatsApp standard, come la possibilità di personalizzare l'interfaccia o bloccare l'accesso alle chat, cosa che rende l'installazione appetibile per l'utente finale. L'app appare del tutto legittima, ma i ricercatori di Kaspersky hanno scoperto che la versione 2.22.11.75 YoWhatsApp può estorcere le chiavi di WhatsApp, consentendo a operatori terzi di prendere il pieno controllo degli account degli utenti.

WhatsApp, attenti ai client custom: YoWhatsApp ruba gli account

Kaspersky sta indagando da oltre un anno sui casi relativi al Triada Trojan presente su alcune versioni custom di WhatsApp e in un report pubblicato nelle scorse ore ha sottolineato come YoWhatsApp sia uno dei client da cui stare alla larga. Secondo l'articolo l'app modificata può inviare le chiavi d'accesso per l'account WhatsApp direttamente al server remoto dello sviluppatore e, inserendo le chiavi all'interno di utility open-source, un operatore malevolo può collegarsi all'account eseguendo azioni come se fosse l'utente effettivo senza utilizzare il client ufficiale.

Il team di ricerca non ha indicato se le chiavi siano state sfruttate in maniera malevola, tuttavia ha sottolineato come possano essere usate per prendere il pieno controllo di un account, diffondere informazioni sensibili a contatti privati, o anche per furti di identità. Come l'app ufficiale di WhatsApp, anche YoWhatsApp ha la possibilità di accedere a SMS e ottenere altre autorizzazioni, che vengono offerte al Triada Trojan presente all'interno del client custom. Il trojan può abusare dei permessi (nello specifico quello agli SMS) per registrare il numero delle vittime ad abbonamenti premium senza che ne siano consapevoli.

L'app custom viene promossa agli utenti attraverso banner pubblicitari diffusi tramite app popolari su Android, e la stessa Kaspersky ha informato gli sviluppatori interessati affinché cessino la divulgazione dei banner incriminati. YoWhatsApp può essere individuata anche con il nome di WhatsApp Plus, e contenente lo stesso codice malevolo. La notizia arriva inoltre dopo la denuncia di Meta nei confronti di diverse compagnie cinesi che hanno sviluppato versioni non ufficiali di WhatsApp attraverso cui sono stati rubati oltre un milione di account.

Come proteggersi?

Non tutte le mod di WhatsApp hanno finalità malevole, tuttavia il miglior metodo per proteggersi da eventuali azioni malevole è quello di affidarsi unicamente al client sviluppato da Meta e rilasciato via Google Play Store. Le versioni non ufficiali dell'app di messaggistica possono essere installate tramite APK da fonti terze, che sono in ogni caso da evitare. Allo stesso modo è da evitare l'installazione dei client non ufficiali provenienti da APK diffusi attraverso messaggi diretti da contatti conosciuti: anche in questi casi si potrebbe trattare di un account temporaneamente sottratto che sta cercando di diffondere il malware.