WhatsApp, Google Play Store e Huawei: tre grandi nomi del mondo digitale sfruttati insieme dagli hacker per diffondere un virus. Un worm, per la precisione, cioè un malware che si replica autonomamente diffondendosi tra i nostri contatti per amplificare la sua diffusione il più possibile. In questo caso si diffonde tra i contatti WhatsApp.
A scoprirlo è stato un ricercatore di sicurezza semi anonimo, che su Twitter è presente con il profilo @ReBensk. Lukas Stefanko, ricercatore di cybersicurezza di Eset, ha rilanciato la notizia e ha anche pubblicato su Twitter e Youtube un video in cui mostra come funziona questo virus. Al malware non è stato dato ancora un nome ma poiché al momento ne è stata trovata solo una versione per Android, e non anche una per iOS, Stefanko lo definisce genericamente “Android WhatsApp Worm“. Questo malware viene diffuso tramite una finta app Huawei Mobile che l’utente scarica da un finto Google Play Store. Ecco come funziona l’infezione.
Come funziona Android WhatsApp Worm
L’infezione da Android WhatsApp Worm, lo chiameremo anche noi con questo nome generico in attesa di ulteriori analisi che permettano di individuarne l’esatta famiglia, parte da un messaggio ricevuto su WhatsApp.
Il messaggio, in inglese, invita ad eseguire il download di una app per vincere uno smartphone. Il link incluso nel messaggio imita molto bene l’indirizzo del Play Store di Google. Se l’utente fa click, viene portato ad un finto Play Store per scaricare la finta app Huawei Mobile.
Dopo il download e l’installazione l’app chiede molti permessi per operare, che gli serviranno dopo per diffondere ulteriormente il virus.
Come si replica Android WhatsApp Worm
A questo punto tutto è pronto per diffondere ulteriormente l’infezione di Android WhatsApp Worm. Quando qualcuno invia un messaggio WhatsApp alla persona con lo smartphone infetto, il worm entra in azione automaticamente e risponde in autonomia inviando a quel contatto lo stesso messaggio con il link per saricare l’app.
Il messaggio viene ripetuto ogni ora. Ne nasce quindi una catena, finalizzata a infettare un numero di smartphone più alto possibile. Per far ciò il worm sfrutta la funzionalità “smart reply” di WhatsApp, che permette di rispondere ai messaggi ricevuti direttamente dall’area notifiche e senza aprire l’app. In questo modo è più difficile accorgersi che c’è qualcosa che non va nel proprio smartphone.
Cosa fa Android WhatsApp Worm
Al momento questo virus non sembra estremamente pericoloso: si limita ad autoreplicarsi senza fare altro. Potrebbe quindi trattarsi di un primo esperimento, riuscito, da parte di un giovane hacker.
Ma Secondo Stefanko forse è solo la prima fase di una campagna di frode ai circuiti pubblicitari: quando un numero sufficiente di smartphone sarà stato infettato un adware (cioè il virus che apre banner pubblicitari sullo sfondo) verrà attivato.