WhatsApp Pink je podvodná aplikace, která se podle portálu BleepingComputer objevila ve druhé polovině dubna a je zaměřena především na uživatele WhatsAppu na indickém subkontinentu. Navenek se prezentuje jako růžová varianta standardně „zeleného“ WhatsAppu. Ve skutečnosti však tato aplikace, před níž varoval bezpečnostní výzkumník Radžšekhar Radžaharia, obsahuje trojského koně.
Jejím cílem je infikovat androidí zařízení a převzít nad ním kontrolu, aby se malware mohl rozšířit mezi další uživatele. K tomu účelu využívá běžně používané chatovací aplikace, umí totiž automaticky odpovídat na přijaté zprávy. Podle Lukáše Štefanka ze společnosti Eset se trojský kůň WhatsApp Pink nezaměřuje pouze na WhatsApp, nově umí reagovat i na zprávy přijaté v chatovacích aplikacích Signal, Skype, Viber či Telegram.
Automaticky rozesílaná odpověď, jejíž text odesílatele zprávy láká na růžový vzhled chatovací aplikace patřící společnosti Facebook, obsahuje také odkaz na podvodný web, kde je malware ke stažení jako APK soubor. Útočníci spoléhají na to, že uživatel s vidinou nového vzhledu běžné chatovací aplikace povolí v nastavení Androidu možnost instalovat aplikace z jiného než oficiálního zdroje.
The “#WhatsApp Pink” trojan can now auto-reply to received messages not only on WhatsApp, but also Signal, Skype, Viber and Telegram. The replies link to a malicious website further distributing the malware. #ESETresearch @LukasStefanko 1/3 https://t.co/B5X0DEQTx2
Jakmile je však WhatsApp Pink nainstalován a uživatel jej prvně spustí, je vzápětí po nastavení oprávnění informován o neúspěšné instalaci. Patřičná ikonka následně z domovské obrazovky zmizí. Uživatel je tak přesvědčen, že k instalaci aplikace nikdy nedošlo. Jenže tomu tak není, nadále běží na pozadí. Je ji nicméně možné snadno odinstalovat, stále totiž figuruje v seznamu instalovaných aplikací. Uživatel by měl kromě její odinstalace pro jistotu v telefonu spustit i antivir.
Podle Štefanka je WhatsApp Pink variantou na začátku roku odhaleného malwaru, který se vydával za oficiální aplikaci Huaweie. I tehdy cílil na uživatele WhatsAppu, automaticky odpovídal ovšem pouze na zprávy přijaté v této aplikaci. V odpovědi stejně jako nyní odkazoval na podvodný web. Tehdy malware útočníkům patrně sloužil ke generování podvodných příjmů z reklamy, jeho současná varianta nic kromě automatických odpovědí nedělá.
Už začátkem roku nicméně Štefanko vyjádřil obavu, že by do budoucna mohlo jít o výrazně závažnější hrozbu. „Text zprávy a odkaz na škodlivou aplikaci jsou přijímány ze serveru útočníka,“ poukázal na úskalí s tím, že by takto mohl být distribuován například bankovní trojský kůň, ransomware či spyware.
Dokazovat to má i tato nová podoba známého malwaru, která by mohla být totiž pouhým testem a náznakem škodlivějších variant, které se v budoucnu objeví.
