Güvenlik araştırmacıları, WhatsApp mesajlaşma uygulamasının nispeten yaygın olarak kullanılan, değiştirilmiş bir sürümü olan YoWhatsApp’ın sahte bir sürümü aracılığıyla veri çalan bir mobil Truva atı dağıtan bir tehdit aktörü tespit etti.
Uygulamayı indiren kullanıcılar, WhatsApp hesap bilgilerinin çalınması ve istemedikleri, hatta farkında bile olmadıkları ücretli aboneliklere kaydolma riskiyle karşı karşıyadır.
Kaspersky’deki araştırmacılar, tehdidi kısa süre önce tespit etti ve Truva Atı’nın, geçen yıl benzer şekilde YoWhatsApp’ın başka bir kötü amaçlı sürümü aracılığıyla dağıtıldığını gözlemlediği bir kötü amaçlı yazılım aracı olan Triada olarak tanımladı.
WhatsApp modları, resmi sürümde olmayan ek gizlilik, özel arka planlar ve toplu mesajlaşma gibi özellikler ve işlevler sunan sosyal medya uygulamasının resmi olmayan, değiştirilmiş sürümleridir. Bu değiştirilmiş sosyal medya uygulamaları resmi olmadığı için Google ve Apple’ın resmi mobil uygulama mağazalarında mevcut değiller, bu yüzden onları isteyen kullanıcıların bunları resmi olmayan kaynaklardan indirmesi gerekiyor – güvenlik uzmanlarının uzun süredir özellikle riskli olduğu konusunda uyardığı bir uygulama. Bununla birlikte, kullanıcılar ek işlevselliğin riske değer olduğunu gördükleri için bunu genellikle yine de yaparlar.
Kötü Amaçlı Mod Kurumsal Kullanıcıları Tehdit Ediyor
Bu haftaki bir raporda Kaspersky, araştırmacılarının, on binlerce kişinin Facebook, YouTube ve Instagram’dan video indirmek için kullandığı meşru bir mobil uygulama olan Snaptube’da kötü niyetli WhatsApp modunun reklamının yapıldığını gözlemlediklerini söyledi. Bu, Kaspersky’nin kötü niyetli moda güvenilirlik kazandırmak için tasarlanmış olarak değerlendirdiği bir stratejidir.
“Dünya çapında yüz binlerce kullanıcı tarafından kullanılan Snaptube uygulamasında YoWhatsApp’ın reklamı yapıldığından, birçoğu bunun farkında bile değil. değişiklik tehlikeli olabilir,” Kaspersky’ye göre.
Aslında, güvenlik sağlayıcısı, Snaptube’un kendi geliştiricilerinin, uygulamalarında reklam özelliğini kötüye kullanan bir tehdit aktörünün kötü niyetli YoWhatsApp modunu ele geçirmek için farkında olmamalarının oldukça muhtemel olduğunu söyledi.
Ayrıca, kötü amaçlı mod, YouTube videolarını indirmek için bir mobil uygulama olan Vidmate ile ilişkili resmi olmayan bir Android uygulama mağazası aracılığıyla “WhatsApp Plus” olarak da indirilebilir.
Kaspersky güvenlik araştırmacısı Anton Kivva, Dark Reading’e yaptığı yorumlarda, işyeri iletişimi için WhatsApp kullanan kuruluşların bu gibi tehditlere dikkat etmesi gerektiğini söylüyor. YoWhatsApp’ın kötü niyetli sürümünü kullanan bir çalışan, hassas işletme bilgilerini sızdırabilir veya hesaplarının kimlik avı dolandırıcılıklarında ve spam göndermek için kullanılmasına neden olabilir.
“Teoride, Triada Trojan’ın teknik yeteneklerine bakılırsa, saldırganlar şirkete ait bir mobil cihaza bulaşırsa, şirket ağına bile girebilir ve hem iş geliştirme sırları hem de çalışanların kişisel verileri dahil olmak üzere hassas bilgileri arayıp çalabilirler. ,” diyor Kivva.
İşletmeler Üzerindeki Potansiyel Etki
WhatsApp öncelikle tüketici odaklı bir uygulama olmasına rağmen, iş ortamlarında (Signal ve Telegram gibi benzer şifreli mesajlaşma uygulamalarıyla birlikte) kullanımı, özellikle COVID sonrası uzaktan ve hibrit çalışma modellerine geçişle birlikte, son yıllarda artmaktadır.
Facebook’un sahip olduğu WhatsApp’ın 2018’de WhatsApp Business’ı piyasaya sürmesi, özellikle işletmeden tüketiciye (B2C) ayarlarında, kullanımının çoğunu teşvik etti. Örneğin, birçok küçük ve orta ölçekli işletme, müşterilerle etkileşim kurmak ve marka sadakatini artırmak için mesajlaşma uygulamalarını kullanır.
Lookout’ta personel güvenlik istihbarat mühendisi Eugene Kolodenker, “Birçok müşteri, müşteri hizmetleri söz konusu olduğunda insan etkileşimi istiyor ve bunun gibi mesajlaşma uygulamaları bunu sağlamak için kolay bir yol sağlıyor” diyor.
Birçok işyerinde çalışanlar, hassas konular veya işle ilgili sorunlar hakkında iletişim kurmak için uçtan uca şifrelemeye de güvenir.
Toplamda, daha fazla 5 milyon kuruluş Müşteri desteği, reklam ve diğer nedenlerle uygulamanın iş sürümünü kullandığı bildiriliyor. Bu nedenle, suçlular, platform aracılığıyla dağıtılan kötü amaçlı yazılımlarla işletmeleri hedeflemeye çalışırlar.
Kolodenker, “Saldırganlar, kullanıcıları sosyal olarak kötü amaçlı yazılım indirmeye yönlendirmek için genellikle bu WhatsApp mesajlaşma modu gibi yeni ürün özelliklerinin cazibesini kullanır” diyor. “Bu kötü amaçlı modu cihazlarına yalnızca birkaç kişi indirse bile, yine de zarar verebilir ve kendi cihazını getir (BYOD) politikalarına sahip kuruluşların tehdidin farkında olması gerekir.”
Bu nedenle, kuruluşların çalışan cihazlarındaki güvenlik açığı bulunan uygulama veya işletim sistemi sürümlerine ilişkin görünürlüğe sahip olması önemlidir. Kolodenker, “Mobil saldırılar, SMS, sosyal medya ve WhatsApp gibi üçüncü taraf mesajlaşma platformları gibi güvenlik ekibinizin kontrolü dışındaki kanallardan gelebilir” diyor.
Kivva, kötü niyetli modların hem bireyler hem de işletmeler için her zaman ciddi sonuçları olduğunu ekliyor. “Bu nedenle, üçüncü taraf sitelerden yeni uygulamalar indirirken dikkatli olmak çok önemlidir” diyor. “Keşfettiğimiz kötü niyetli mod YoWhatsApp, güvenli Snaptube uygulamasında ilan edildi, ancak bu, onu kullanıcılar için daha az tehlikeli hale getirmedi ve yalnızca potansiyel kurbanların sayısını artırdı.”