يشعر مستخدمو تطبيق واتساب WhatsApp أحياناً أن النسخة الرسمية تفتقر إلى عدد من الميزات المفيدة، مثل إتاحة خيار الخلفيات المتحركة، أو الرسائل ذاتية التدمير التي تحذف نفسها تلقائياً، أو خيار إخفاء محادثات معينة من القائمة الرئيسية، أو الترجمة التلقائية للرسائل، أو إمكان عرض الرسائل التي تم حذفها من قبل المرسل، وغيره.

هنا نقطة القوة التي يستخدمها المهاجمون، فيقومون بإصدار تطبيقات معدلة من واتساب تقوم بتقديم هذه الميزات الإضافية في محاولة لسد الفجوة الموجودة، هذا ما يعتقده المستخدم على أي حال. وعادةً ما تحتوي هذه التطبيقات المعدلة على إعلانات قد تظهر بشكل لافتات مختلفة أثناء الاستخدام.

ولكن الأمر ليس بهذه البساطة. فالميزات الجديدة قد تكون بوابة سهلة لإصابة جهازكم بأنواع متعددة من البرامج الضارة. وهذا ما أكد عليه الخبراء الأمنيون مؤخراً مع اكتشاف برنامج Trojan Triada الضار الذي يبدو أنه انخرط في أحد الإصدارات المعدلة من برنامج المراسلة واتساب والمسمى “FMWhatsapp 16.80.0″، جنباً إلى جنب مع مجموعة تطوير برامج الإعلانات (SDK).

 

Triada Trojan برنامج ضار بامتياز. فكيف يعمل؟

بمجرد تشغيل التطبيق المعدل من واتساب، يجب تسجيل الدخول إلى حساب على هاتف الضحية. سيقوم البرنامج الضار هنا بجمع المعرّفات الفريدة الخاصة بجهاز المستخدم مثل تفاصيل الأجهزة وأرقامها ومعلومات المشتركين وعناوين MAC واسم حزمة التطبيق التي تتضمن كل هذه المعلومات وتفاصيل مشغل الهاتف المحمول وغيره.

ثم سيقوم البرنامج بطلب رمز التحقق لتسجيل الجهاز عبر إرسال كل البيانات التي تم جمعها إلى خادم القيادة والتحكم الذي يعمل عن بُعد. بدوره، سيستجيب الخادم عبر إرسال رابط إلى حمولة يقوم حصان طروادة بتنزيلها وفك تشفيرها وتشغيلها تلقائياً.

سيتظاهر البرنامج على أنه مستخدم عادي وسيقوم باعتراض رمز التحقق لتأكيد الاشتراك بنفسه. وبعد الانتهاء من كل هذا، سيطلب البرنامج الضار من المستخدم إضافة رمز تحقق ليبدو عمل التطبيق طبيعي بنظر الضحية.

 

ما قد يفعله البرنامج أيضا!

يبدو أنه يتم تحميل أحصنة طروادة مثل Trojan.AndroidOS.Triada.ef في الأساس من إعلانات مجموعة SDK. ومن خلال تحليل الملفات التي يتم تنزيلها بواسطة FMWhatsapp، حدد الباحثون عدداً من أنواع البرامج الضارة المختلفة:

– البعض منها يقوم أيضاً بتنزيل وإطلاق وحدات ضارة أخرى.

– بعضها يقوم بعرض إعلانات فجائية على ملء الشاشة من دون أن يتوقع المستخدمون ظهورها.

– البعض الآخر يقوم بتشغيل إعلانات غير مرئية في الخلفية لزيادة عدد المشاهدات التي يحصلون عليها.

– كما قد يقوم البرنامج الضار بتسجيل صاحب الجهاز في اشتراكات مدفوعة.

تجدر الإشارة إلى أن مستخدمي FMWhatsapp يمنحون التطبيق إذناً لقراءة رسائل SMS الخاصة بهم، مما يعني أن حصان طروادة وجميع الوحدات الخبيثة الأخرى التي قام بتحميلها قادرة على الوصول إلى هذه الرسائل. يتيح ذلك للمهاجمين إمكان تسجيل الضحية تلقائياً في اشتراكات مميزة، حتى لو كان رمز التأكيد مطلوباً لإكمال العملية.

لذلك، لا نوصي باستخدام أي تعديلات غير رسمية للتطبيقات، وخاصة تعديلات WhatsApp. فقد ينتهي بكم الأمر باشتراك مدفوع غير مرغوب فيه، أو حتى بفقدان التحكم في حسابكم تماماً مما سيسمح للمهاجمين بنشر رسائل غير مرغوب فيها مُرسلة باسمكم.