A Kaspersky identificou um mod malicioso do WhatsApp Messenger em circulação, conhecido como FMWhatsApp, e é uma modificação não-oficial do aplicativo. Porém, esta aplicação contém um trojan chamado Triada que pode exibir anúncios, realizar assinaturas não solicitadas e interceptar SMSs das vítimas.
De acordo com as detecções da empresa entre janeiro de 2020 e agosto de 2021, o México e o Brasil são os países latino-americanos onde o trojan está mais ativo com 2.474 e 2.327 bloqueios no período – no ranking global, os países ocupam a 6ª e 7ª posições respectivamente. A ameaça ainda está presente na Venezuela (690), Colômbia (636), Peru (362), Argentina (311), Equador (226) e Chile (160).
Este malware atua como um intermediário. Primeiro, ele coleta dados da vítima e depois, sob comando do criminoso, baixa outros malware para o dispositivo, que exibirão anúncios indesejados, efetuarão o login na conta WhatsApp, efetuarão assinaturas em nome da vítima e interceptarão as mensagens SMSs, deixando a vítima vulnerável a atividades ilegais.
Quando baixado pela Triada, o Trojan MobOk abre uma página de assinatura em uma janela invisível e faz com que o usuário clique no botão "Assinar".
A versão maliciosa do FMWhatsApp baixa malware como:
• Trojan-Downloader.AndroidOS.Agent.ic: para baixar e executar outros módulos maliciosos;
• Trojan-Downloader.AndroidOS.Gapac.e: para baixar e executar outros módulos maliciosos e poder exibir anúncios em tela inteira em momentos inesperados;
• Trojan-Downloader.AndroidOS.Helper.a: para baixar e executar o trojan xHelper e exibir anúncios invisíveis em segundo plano;
• Trojan.AndroidOS.MobOk.i e Trojan.AndroidOS.Subscriber.l: para realizar assinaturas pagas não solicitadas;
• Trojan.AndroidOS.Whatreg.b: o mais complexo da lista, faz login na conta do WhatsApp no telefone da vítima, interceptando o texto de confirmação de login. O dispositivo pode então se tornar um local para vários tipos de atividades ilegais, como distribuição de spam ou comércio ilegal.
Essa galerinha que usa o GB whatsap não sabe que estão instalando um TrojanSpy:AndroidOS/SanDar.A em seus celulares. Depois que seus dados vazam ficam chorando na internet.