È stato scoperto che un malware Android appena scoperto si propaga attraverso i messaggi di WhatsApp ad altri contatti al fine di espandere quella che sembra essere una campagna adware.
“Questo malware si diffonde tramite WhatsApp della vittima rispondendo automaticamente a qualsiasi notifica di messaggio WhatsApp ricevuta con un collegamento a [una] app Huawei Mobile dannosa“, ha detto il ricercatore di ESET Lukas Stefanko.
Il collegamento alla falsa app Huawei Mobile, facendo clic, reindirizza gli utenti a un sito Web simile a Google Play Store.
Una volta installata, l’app wormable richiede alle vittime di concedere l’accesso alle notifiche, che viene quindi utilizzato in modo improprio per eseguire l’attacco wormable.
In particolare, sfrutta la funzione di risposta rapida di WhatApp, utilizzata per rispondere ai messaggi in arrivo direttamente dalle notifiche, per inviare automaticamente una risposta a un messaggio ricevuto.
Oltre a richiedere le autorizzazioni per leggere le notifiche, l’app richiede anche un accesso intrusivo per l’esecuzione in background e per disegnare su altre app, il che significa che l’app può sovrapporre qualsiasi altra applicazione in esecuzione sul dispositivo con la propria finestra che può essere utilizzata per rubare le credenziali e ulteriori informazioni sensibili.
La funzionalità, secondo Stefanko, è quella di indurre gli utenti a cadere in una truffa adware o in abbonamento.
Inoltre, nella sua versione attuale, il codice malware è in grado di inviare risposte automatiche solo ai contatti di WhatsApp, una funzionalità che potrebbe essere potenzialmente estesa in un futuro aggiornamento ad altre app di messaggistica che supportano la funzionalità di risposta rapida di Android.
Sebbene il messaggio venga inviato solo una volta all’ora allo stesso contatto, il contenuto del messaggio e il collegamento all’app vengono recuperati da un server remoto, aumentando la possibilità che il malware possa essere utilizzato per distribuire altri siti Web e app dannosi.
“Non ricordo di aver letto e analizzato alcun malware Android dotato di tale funzionalità capace di diffondersi tramite messaggi Whatsapp”, ha detto Stefanko a The Hacker News.
Stefanko ha detto che il meccanismo esatto dietro il modo in cui trova la sua strada verso la serie iniziale di vittime infette direttamente non è chiaro; tuttavia, è da notare che il malware può potenzialmente espandersi da pochi dispositivi a molti altri in modo incredibilmente rapido.
“Direi che potrebbe diffondersi tramite SMS, posta, social media, canali / gruppi di chat, ecc.”, ha detto Stefanko a The Hacker News.
Semmai, lo sviluppo sottolinea ancora una volta la necessità di attenersi a fonti attendibili per scaricare app di terze parti, verificare se un’app è effettivamente costruita da uno sviluppatore autentico e controllare attentamente le autorizzazioni dell’app prima dell’installazione.
Ma il fatto che la campagna si basi abilmente sulla fiducia associata ai contatti WhatsApp implica che anche queste contromisure potrebbero non essere sufficienti.