【安全资讯】Triada木马藏匿在WhatsApp应用程序包中进行分发

引言

Triada是一种移动供应链恶意软件，于2016年首次被发现，可以通过伪造的应用程序包传送到受害者的设备。近日，研究人员在即时通讯工具 FM WhatsApp 的修改版本的广告组件中，发现了隐藏的Triada木马。针对安卓系统的 WhatsApp 应用程序的修改版本被木马化后，可以拦截文本消息、提供恶意负载、显示全屏广告以及在受害者不知情的情况下为他们注册不需要的付费订阅服务。

简况

受到影响的版本是FM WhatsApp 16.80.0，此修改版本允许用户添加额外的功能，如动画主题、从主列表中隐藏某些对话、自动翻译或查看已删除的邮件。特洛伊木马Triada与广告软件开发工具包(SDK)一起隐藏在该修改版本中。这款被篡改的应用程序具有收集唯一设备标识符的功能，标识符被发送到远程服务器，该服务器链接到一个有效载荷，有效载荷随后被Triada木马下载、解密并启动。解密并启动恶意负载的脚本如下：

Triada木马充当有效载荷下载器，将六个额外的恶意软件注入 Android 手机，这些软件可以执行多种恶意操作：

• Trojan-Downloader.AndroidOS.Agent.ic：下载并启动其他恶意模块。
• Trojan-Downloader.AndroidOS.Gapac.e：显示全屏广告。
• Trojan-Downloader.AndroidOS.Helper.a：下载并启动xHelper木马安装程序模块；在后台运行隐形广告，以增加观看次数。
• Trojan.AndroidOS.MobOk.i：为设备所有者注册付费订阅。
• Trojan.AndroidOS.Subscriber.l：为受害者注册高级订阅。
• Trojan.AndroidOS.Whatreg.b：在受害者手机上登录 Whatsapp帐户。恶意软件收集有关用户设备和移动运营商的信息，然后将其发送到C&C服务器。

总结

研究人员表示，不建议用户对应用程序进行非官方修改，这可能导致用户收到不需要的付费订阅，甚至失去对帐户的控制权，攻击者可以劫持这些帐户用于非法操作，例如以受害者的名义传播垃圾邮件。