A ESET recebeu vários relatos sobre uma mensagem que chega através do WhatsApp, convidando o usuário a aplicar novas cores no aplicativo com apenas um clique. A empresa de segurança analisa o que está por trás desse golpe que busca preencher os telefones de publicidade.
Mensagem do WhatsApp com o convite para alterar as cores.
Como é comum nesse tipo de campanha, o link reage de maneira diferente se você clicar em um celular ou no aplicativo WhatsApp Web.
No caso de acesso em um computador através do WhatsApp Web, o usuário é convidado a instalar uma extensão do Google Chrome, chamada Black Theme for Whatsapp, que permitirá mudar o aplicativo para uma cor mais escura.
Essa extensão pode ser encontrada dentro da Chrome Web Store e já apresenta um alto número de downloads, para se ter uma ideia da magnitude da campanha.
Extensão no Google Chrome, chamada "Black Theme for Whatsapp"
Caso um usuário desavisado instale a extensão e abra a sessão do WhatsApp Web, ela enviará automaticamente uma mensagem para toda a lista de bate-papos ativos, convidando-os a alterar as cores do aplicativo. No complemento, há mensagens em diversos idiomas para enviar, além de diferentes elementos que compõem a mensagem, incluindo a imagem.
Além disso, existem URLs diferentes que podem estar associadas à mensagem que está sendo construída de maneira aleatória à medida que as mensagens são enviadas.
Mesmo que o usuário identifique o que está acontecendo e feche a janela do navegador, a ação não será interrompida, pois é o próprio telefone que envia as mensagens. Essa funcionalidade específica demonstra as estratégias usadas pelos invasores para propagar com rapidez e eficiência esse tipo de campanha e, assim, alcançar até mesmo todos os contatos da vítima.
Por outro lado, se o link for acessado de forma convencional, a partir do celular, uma mensagem aparece pedindo ao usuário para compartilhar o aplicativo com 30 amigos ou 10 grupos antes de alcançar a possibilidade de mudar de cor.
Se você acessar pelo telefone, a seguinte mensagem aparecerá solicitando que um convite seja enviado aos seus contatos para continuar a ação
Da mesma forma, mesmo que não seja compartilhado entre os contatos e você queira prosseguir a ação, o aplicativo solicita o download de um APK chamado best_video.apk e ativa as notificações de um servidor localizado na Rússia.
Se a vítima deixar todos os itens acima acontecerem, o celular será infectado por uma família de cavalos de Troia que propagará adware entre os usuários do Android.
O aplicativo é instalado no dispositivo, mas não deixa qualquer evidência de sua instalação, já que o ícone é oculto e só é ativado quando o usuário inicia a navegação, exibindo banners publicitários de diferentes serviços de propaganda legítimos; mas para a vítima não é evidente que seus recursos estão sendo utilizados para este tipo de ações.
