Uma versão maliciosa do FMWhatsapp, famoso WhatsApp modificado (mod), está infectando celulares Android com um trojan chamado Triada. Depois de infectar o celular, ele abre portas para diversos outros malwares, incluindo o Trojan xHelper que é muito difícil de remover. 

• 5 melhores antivírus gratuitos para Android
• 5 dicas para baixar arquivos sem pegar vírus ou outros perigos

O Fmwhatsapp promete melhorar a experiência do usuário do WhatsApp com recursos adicionais; como melhor privacidade, temas de bate-papo personalizados, acesso aos pacotes de emojis de outras redes sociais e bloqueio do app usando um PIN, senha ou o Touch ID.  No entanto, pesquisadores da Kaspersky descobriram que a versão FMWhatsapp 16.80.0 traz um presentinho chamado Triada. Esse trojan está junto do SDK de banners publicitários que os desenvolvedores do mod usam para bancar o projeto.  Os pesquisadores avisam que não é o desenvolvedor do FMWhatsApp que coloca o código malicioso. O problema é que como qualquer site pode hospedar o apk do aplicativo, já que não entra na Google Play, pessoas alteram o código original e os hospedam em "alguns sites populares que distribuem APKs de mods", disse o especialista em segurança da Kaspersky, Igor Golovin. "Quanto aos [clones do FMWhatsApp] no Google Play — esses aplicativos geralmente contêm apenas vários anúncios e instruem os usuários sobre como baixar e instalar mods, enquanto não contêm os próprios mods maliciosos." 

Trojan coleta informações do dispositivo e instala mais malwares

Uma vez instalado, o Triada começa a coletar informações do dispositivo e as envia para um servidor que, imediatamente, responde com um link para baixar um "pacote adicional" de arquivos, que não verdade serão outros malwares que o trojan instalará no dispositivo Android infectado. De acordo com a Kaspersky, a Triada baixará e lançará vários tipos de malware adicionais nos dispositivos alvo, incluindo: 

• Trojan-Downloader.AndroidOS.Agent.ic, que baixa e lança outros módulos maliciosos. 
• Trojan-Downloader.AndroidOS.Gapac.e, que instala outros módulos maliciosos e exibe anúncios em tela cheia. 

• Trojan-Downloader.AndroidOS.Helper.a instala o módulo instalador de Trojan xHelper  e executa anúncios invisíveis em segundo plano. 
• O Trojan.AndroidOS.MobOk.i assina com o proprietário do dispositivo Android para obter assinaturas pagas. 
• Trojan.AndroidOS.Subscriber.l também inscreve vítimas para assinaturas premium. 
• Trojan.AndroidOS.Whatreg.b coleta as informações e solicita o código de verificação para entrar nas contas do WhatsApp das vítimas. 

O malware instalado pela Triada nos dispositivos Android com o WhatsApp modificado FMWhatsApp, pode facilmente inscrevê-los em assinaturas premium, dado que o aplicativo solicita acesso às mensagens de texto das vítimas quando instalado.  "Com este aplicativo, é difícil para os usuários reconhecer a ameaça potencial porque o aplicativo mod realmente faz o que é proposto – ele adiciona recursos adicionais", disse Golovin.  "No entanto, observamos como os cibercriminosos começaram a espalhar arquivos maliciosos através dos blocos de anúncios em tais aplicativos. É por isso que recomendamos que você use apenas o software messenger baixado em lojas oficiais de aplicativos". Isso incluir evitar versões como WhatsApp GB, WhatsApp Plus e outros semelhantes. "Eles podem não ter algumas funções adicionais, mas não instalarão um monte de malware em seu smartphone." 

O invencível e quase impossível de remover xHelper 

Entre os malwares fornecidos pela Triada, o xHelper se destaca por sua incrível capacidade de reinfectar dispositivos Android horas depois de ser removido ou depois que os dispositivos infectados são redefinidos para configurações de fábrica.  Observado pela primeira vez pelo Malwarebytes em março de 2019, quando começou a se espalhar lentamente para mais de 32.000 dispositivos Android, o xHelper acabou infectando um total de 45.000 dispositivos até outubro de 2019.  O xHelper usa "redirecionamentos da web" para enganar alvos para carregar de lado APKs maliciosos de lojas de aplicativos Android de terceiros, com os aplicativos instalados baixando e lançando o trojan xHelper.  O trojan que está vem junto com o download do FMWhatsApp que dissemos acima, sobrevive às tentativas de remoção copiando-se sobre a partição do sistema, que ele remonta no modo de gravação. Ele também substitui a biblioteca do sistema libc.so para bloquear o acesso total à montagem e impedir que os usuários empregam a mesma técnica para removê-la.  Embora a reformulação completa do sistema Android em dispositivos infectados seja o método mais infalível para se livrar do xHelper, o Malwarebytes criou um segundo método que envolve a instalação do malwarebytes gratuito da empresa para o aplicativo Android.