MarcoServices - informatique langon à votre domicile

YoWhatsApp bien ou bien... Pas bien car tu es un cheval de Troie

Pourquoi les modifications des applications de messagerie sont dangereux

Edito : Une nouvelle vague, la copie de l'originale en vous disant c'est pareil, mais nous c'est vachement mieux... Pourquoi télécharger la copie, alors que l'originale est sécurisé, mis à jour régulièrement et pas de mauvaises surprise à la clef. Une nouvelle modification (mod) malveillante de WhatsApp. Mais cela peut être une modification de Signal, Telegram.. ou de n'importe quoi comme application. Nous vous expliquons pourquoi et comment vous protéger.

Une autre modification de WhatsApp, connue comme YoWhatsApp, s’est avérée être malveillante : elle télécharge le cheval de Troie Triada sur le smartphone. Ce programme malveillant affiche des publicités, s’abonne à des contenus payants sans que l’utilisateur ne le sache et vole les comptes WhatsApp. Comment est-ce arrivé et que pouvons-nous en retenir ?

Ne jouez pas avec le feu !

Quelques règles simples à suivre en cybersécurité :

  • - Ne visitez pas les sites suspects puisqu’ils peuvent contenir des publicités malveillantes ou être une façade pour des arnaques d’hameçonnage.
  • - Ne téléchargez pas les versions piratées des programmes via des torrents. Si vous le faites, vous risquez d’obtenir des cracks* qui contiennent un cheval de Troie qui vole les mots de passe*, par exemple.
  • - Ne cliquez pas sur les liens reçus par e-mail d’un expéditeur inconnu et n’ouvrez pas les pièces jointes. Vous pourriez télécharger un programme malveillant.

* crack de cracker : Programme malveillant conçu pour pirater un système de sécurité logiciel. Un crack peut modifier les fichiers exécutables et les bibliothèques ou paramètres d'une application, générer et substituer des clés de licence, ou effectuer d'autres actions pour contourner l'algorithme de vérification de clé et permettre le lancement non autorisé d'une application. Il peut ouvrir l'accès à toutes les fonctionnalités de l'application, ou prolonger la durée d'abonnement des services en ligne qui lui sont liés. * cheval de Troie qui vole les mots de passe : Type de logiciel malveillant conçu pour voler les mots de passe et autres informations de compte. Les voleurs extraient les clés secrètes stockées des navigateurs et d'autres utilitaires, analysent les fichiers de cache et de cookies et accèdent aux données du portefeuille de crypto-monnaie. Les données collectées par les chevaux de Troie sont généralement envoyées au serveur de commande.

Je pense que vous avez compris : faire attention contribue grandement à votre protection face aux menaces informatiques.

D’autre part, il est primordial d’avoir un antivirus actif et mis à jour, juste au cas où il y aurait un incident. Ne tentez pas le diable et ne faites pas en ligne ce que vous ne faites pas dans la vie réelle : vous promenez dans une rue déserte au beau milieu de la nuit. Si vous faites preuve d’un peu de bon sens, vous pouvez réduire de façon significative les risques d’être victime d’escrocs.

En plus des conseils ci-dessus, il convient de vous en donner un autre : ne téléchargez pas les applications mobiles à partir de sources non officielles. Google et Apple vérifient les applications avant de les ajouter à leurs boutiques, donc les risques d’avoir un programme malveillant sont extrêmement minces, même si le risque zéro n’existe pas (surtout avec Google Play). Huawei effectue le même travail pour sa boutique Huawei AppGallery, même si un programme malveillant y a déjà été découvert. Cependant, le risque de télécharger un programme malveillant est beaucoup plus important sur les plateformes publiques qui vous permettent d’obtenir simplement un fichier APK.

Voici une autre règle de sécurité : n’utilisez pas les services non officiels lorsqu’il s’agit d’applications de messagerie. Afin de comprendre pourquoi ce point est important, revenons un peu en arrière et voyons comment une application de messagerie fonctionne.

La plupart de ces applications opèrent selon un environnement client-serveur, où l’utilisateur interagit directement avec l’application cliente. L’échange de données entre le client et le serveur se fait via un protocole spécial. Ce dernier est ouvert pour de nombreuses applications de messagerie. Il est donc possible de créer des clients modifiés non officiels avec de nouvelles fonctionnalités, comme la lecture de messages supprimés par d’autres utilisateurs, la création d’un envoi massif, la personnalisation de l’interface, etc.

Quel est le risque ? Avec le service officiel, vous ne confiez votre correspondance qu’aux créateurs de l’application de messagerie. Lorsque vous utilisez un service non officiel, vous donnez ces informations aux développeurs du système de messagerie et aux développeurs de l’application non officielle. De plus, le client modifié peut être distribué via des sources non officielles, qu’il vaut mieux ne pas utiliser. Toutes ces actions sont des étapes supplémentaires qui amènent de nouveaux dangers. En d’autres termes, vous augmentez les risques.

    Quoi de neuf, Triada ?

    Évidemment, il y a eu un problème, puisque le scenario que nous avons décrit l’an dernier s’est reproduit. En quelques mots : à l’époque, les cybercriminels avaient infecté le mod FMWhatsApp en 2021 avec un dropper* qui téléchargeait un cheval de Troie multifonctionnel (Triada**) sur les appareils des utilisateurs. Ce cheval de Troie modulaire montrait des publicités et souscrivait des abonnements payants.

    Quelque chose de similaire vient d’avoir lieu, avec la même application de messagerie mais un autre client non officiel. Cette fois, c’est le mod YoWhatsApp, aussi connu comme YoWA, qui a été infecté. Ce mod attire les utilisateurs en leur proposant des options de confidentialité plus vastes, en leur permettant de transférer des fichiers qui pèsent jusqu’à 700 Mo, en offrant une vitesse plus rapide, etc.

    Il semblerait que YoWhatsApp est attiré l’attention des distributeurs de programmes malveillants parce qu’il a une base d’utilisateurs importante. Ainsi, le fait que le mod n’était pas autorisé sur Google Play a joué en faveur des criminels. Les utilisateurs ont l’habitude de télécharger YoWhatsApp à partir de sources plus ou moins fiables. Un des principaux canaux de distribution de la version infectée du mod apparaissait comme publicité sur SnapTube, une application qui permet de télécharger des vidéos et des fichiers audios. Les propriétaires de SnapTube ne pensaient certainement pas que l’une de leurs campagnes publicitaires distribuait un programme malveillant.

    En plus du mod YoWhatsApp infecté, les utilisateurs téléchargent un dropper qui installe le cheval de Troie Triada sur l’appareil. Contrairement à la campagne de l’an dernier, le dropper n’est pas le seul élément qui accompagne le cheval de Troie. YoWhatsApp a une nouvelle fonctionnalité qui permet aux intrus de voler les clés nécessaires pour que WhatsApp fonctionne. Ces clés peuvent être utilisées pour pirater un compte puis s’en servir pour distribuer un programme malveillant ou soutirer de l’argent aux contacts de la victime.

    Par conséquent, l’utilisateur perd de l’argent, comme Triada l’abonne à des contenus payants, mais en plus il risque de mettre en danger ses contacts, puisque les cybercriminels pourraient les contacter en se faisant passer pour l’utilisateur.

    *Dropper : Un Trojan dropper, ou simplement un dropper , est un programme malveillant conçu pour diffuser d'autres logiciels malveillants sur l'ordinateur ou le téléphone d'une victime. Les droppers sont le plus souvent des chevaux de Troie - des programmes qui semblent être ou incluent une application précieuse pour l'utilisateur. Un exemple typique est un générateur de clé (ou keygen ) pour une copie piratée d'une suite logicielle commerciale. **Triada comme une mafia du crime

Comment vous protéger contre les programmes malveillants ?

La meilleure façon de lutter contre un programme malveillant c’est en évitant les situations où pourriez être infecté. Dans ce cas, il vous suffit de suivre trois règles simples pour vous protéger :

  • - Ne téléchargez pas les applications à partir de sources inconnues. En réalité, il convient de désactiver l’option qui permet d’installer sur votre smartphone Android des applications qui n’appartiennent pas à Google Play.
  • - N’installez pas les services alternatifs d’applications de messagerie. Même si les versions officielles des applications ne sont pas toujours idéales, elles sont beaucoup plus fiables et sûres.
  • - Utilisez une bonne protection et activez-la tout le temps. Kaspersky ou ESET Android peut détecter diverses modifications du cheval de Troie Triada et d’autres programmes malveillants pour Android, et peut les bloquer avant qu’ils ne fassent des dégâts. N’oubliez pas qu’avec la version gratuite de notre protection mobile vous devez effectuer manuellement une analyse à chaque fois que vous téléchargez ou installez quelque chose de nouveau. La version payante analyse automatiquement chaque nouvelle application.

Nous remerçions l'aide technique à John de Paris expert en cybersécurité.

 

Tags