Une application WhatsApp officielle pour les appareils Android, nommée “YoWhatsApp”, a été découverte en train de voler les clés d’accès aux comptes des utilisateurs.
YoWhatsApp est une application de messagerie entièrement fonctionnelle qui utilise les mêmes autorisations que l’application WhatsApp standard et est promue par le biais de publicités sur des applications Android populaires telles que Snaptube et Vidmate.
L’application permet aux utilisateurs de communiquer avec deux numéros WhatsApp sur un seul appareil et offre des fonctionnalités telles que la messagerie anonyme, la possibilité d’afficher les messages supprimés des personnes et la protection par mot de passe de discussions spécifiques.
Cependant, les analystes de Kaspersky ont découvert que YoWhatsApp v2.22.11.75 volait les clés WhatsApp, permettant aux acteurs de la menace de contrôler les comptes des utilisateurs.
Selon un rapport publié par Kaspersky, l’application modifiée envoie les clés d’accès WhatsApp des utilisateurs au serveur distant du développeur. “Ces clés peuvent être utilisées dans des utilitaires open source pour se connecter et effectuer des actions en tant qu’utilisateur sans le client réel”, a-t-il ajouté.
Bien que Kaspersky n’ait pas indiqué si ces clés d’accès volées ont été abusées, elles peuvent conduire à la prise de contrôle de compte, à la divulgation de communications sensibles avec des contacts privés et à l’usurpation d’identité auprès de contacts proches.
Comme la véritable application Android WhatsApp, l’application malveillante demande des autorisations, comme l’accès aux SMS, qui est également accordée au cheval de Troie Triada intégré à l’application.
Kaspersky a noté que le cheval de Troie pouvait exploiter les autorisations et enregistrer les utilisateurs sur des abonnements premium tout en les laissant inconscients.
Le YoWhatsApp modifié est promu via des publicités dans Snaptube, un téléchargeur de vidéos très populaire qui a récemment souffert de publicités malveillantes. Kaspersky a informé Snaptube des cybercriminels poussant des applications malveillantes via sa plateforme publicitaire.
Kaspersky a également trouvé un clone de YoWhatsApp nommé “WhatsApp Plus”, présentant la même fonctionnalité malveillante, diffusée via l’application VidMate, vraisemblablement à l’insu de ses auteurs.