WhatsApp-accounts gehackt na gebruik nepversies WhatsApp voor Android

Er zijn valse WhatsApp-versies voor Android opgedoken. Wie deze nep-apps gebruikt, loopt het risico dat diens échte WhatsApp-account wordt overgenomen. Daarvoor waarschuwt antivirusbedrijf Kaspersky. Hoe werkt het, waar moet je op letten en wat moet je vooral (niet) doen? Je leest het hier.

Het gaat hier om malware die is aangetroffen in een niet-officiële WhatsApp-variant voor Android-gebruikers die 'YoWhatsApp' wordt genoemd, meer specifiek in versienummer v2.22.11.75. Dat YoWhatsApp is een volledig functionele app die op min of meer dezelfde manier werkt als de officiële WhatsApp-versie. En volgens Kaspersky is onder de naam 'WhatsApp Plus' alweer een kloon opgedoken van YoWhatsApp: het is dan ook goed denkbaar dat malafide kopieën onder nieuwe namen opduiken zodra eerdere versies worden gedetecteerd en offline worden gehaald.

Dit soort gemodificeerde WhatsApp-versies beloven vaak een aantal extra functionaliteiten, zoals het naar eigen inzicht kunnen aanpassen van de layout en het beter kunnen beheren van toegangspermissies. Dat maakt het interessanter voor gebruikers om ook deze apps te downloaden, ter aanvulling op de officiële app. Anders is er namelijk geen reden te bedenken waarom de officiële versie niet zou volstaan.

En daar gaat het mis, zo lezen we via Kasperksy. Het kan namelijk gebeuren dat je kwaadwillenden door het gebruik van dit soort WhatsApp-varianten ongemerkt de toegang verleent tot jouw échte WhatsApp-account. En dat wil je natuurlijk niet.

Niet-officiële versies van WhatsApp kun je in veel gevallen in principe gewoon uit de Google Play Store halen. En daarmee belanden we meteen bij een belangrijk punt: niet alle WhatsApp-modificaties zijn per definitie schadelijk of gevaarlijk. Déze specifieke, gevaarlijke varianten stonden echter niet in de Google Play Store, en daar gaan we het later in dit artikel nog over hebben.

In dit geval is het zo dat de schadelijke variant via pop-ups en reclame in andere populaire Android-apps onder de aandacht wordt gebracht. De bedoeling daarvan is dat jij denkt dat die app misschien wel een zekere meerwaarde heeft ten opzichte van de officiële WhatsApp-versie: er moet in zekere zin natuurlijk een prikkel zijn om ze te downloaden.

Maar tref je een schadelijke variant? Dan kan het gebeuren dat daar een virus in zit, een zogenaamd Trojaans paard. In dit specifieke geval gaat het om een 'Trojan' die bekend staat onder de naam Triada. Deze is vorig jaar al eens aangetroffen in een andere niet-officiële WhatsApp-versie, destijds bekend onder de naam 'FMWhatsApp'. Dit virus doet dus nog altijd de ronde, zo ontdekten onderzoekers van antivirusbedrijf Kaspersky. 

Deze Trojan hengelt niet naar je gebruikersnaam of wachtwoord, want zo werkt WhatsApp niet: je hoeft bij het gebruik van de app in principe nooit 'in te loggen' en je verifieert je account door middel van je telefoonnummer en een unieke verificatiecode, en dat bovendien alleen bij het eerste gebruik.

Waar zit 'm het gevaar dan in? Wie gebruik maakt van gemodificeerde WhatsApp-versies, geeft deze apps toestemming om het officiële WhatsApp-account te benaderen. Ook de niet-officiële varianten moeten immers toegang hebben tot jouw contacten, anders heeft het weinig zin.

In deze malafide app werkt dat als volgt. Het in de onderliggende broncode verstopte virus is in staat om de unieke toegangssleutel voor WhatsApp (kort gezegd het stukje identificatie waardoor de échte WhatsApp weet dat jij inderdaad bent wie je zegt die je bent, op het moment dat je een account benadert via een alternatieve WhatsApp-versie) af te vangen en door te sturen naar de servers van de beheerders van de niet-officiële WhatsApp-versie.

En dat gaat allemaal ongemerkt: je hebt het niet eens door tot het te laat is.

Het feit dat criminelen deze toegangssleutels kunnen bemachtigen, heeft in theorie best grote gevolgen, zo meldt techblog BleepingComputer. Er is bepaalde open-source software beschikbaar waarmee je je via deze sleutels kunt voordoen als de échte eigenaar van een WhatsApp-account, zonder dat je per se toegang moet hebben tot diens toestel of überhaupt de applicatie. 

Zo is het mogelijk dat jouw account wordt overgenomen en er vervolgens uit jouw naam mee wordt gefraudeerd. Ook kunnen mensen een kijkje nemen in jouw chatgeschiedenis: daar staan vermoedelijk de nodige privézaken in, dus wenselijk is dat allerminst. Daarnaast kunnen kwaadwillenden jouw gehackte account gebruiken om de valse WhatsApp-modificaties verder mee te verspreiden, en ook dat wil je niet.

Bovendien vragen deze kwaadaardige apps om toestemming om jouw sms-functie te kunnen gebruiken. Jouw échte WhatsApp-account is immers gekoppeld aan een mobiel nummer en het virus stelt aanvallers zoals gezegd in staat om gevoelige informatie te onderscheppen: het gaat hier dan ook om het uit jouw naam kunnen versturen van sms'jes.

Het doel daarvan is volgens Kaspersky dat jij op die manier ongemerkt wordt opgezadeld met hele dure abonnementen op vage, waardeloze sms-diensten: op de achtergrond wordt bijvoorbeeld een tekst als 'Abonnement AAN' verstuurd naar nummers van malafide aanbieders van sms-diensten.

In dit geval gaat het zoals gezegd om apps die niet in de officiële Google Play Store stonden. Ze werden via advertenties onder de aandacht gebracht, en hoogstwaarschijnlijk krijgen gebruikers het verzoek om een bepaalde app buiten de Google Play Store om te installeren. Vaak moet je daarvoor de permissies wijzigen: standaard is de optie om apps buiten de Play Store om te downloaden namelijk uitgeschakeld.

Het is altijd raadzaam om even héél goed na te denken over eventuele risico's indien je een app buiten de Google Play Store om wilt installeren. Er kunnen legitieme redenen zijn om dat te doen, maar voor doorsnee gebruikers is dit eigenlijk nooit nodig. Je maakt jezelf op die manier in ieder geval zeer kwetsbaar voor aanvallen door hackers en andere kwaadwillenden.

Maar ook apps in de Google Play Store zijn niet 100% gegarandeerd virusvrij, zo bleek onlangs maar weer toen bekend werd dat er in beide officiële Stores ruim 400 malafide apps voor Android en iOS opdoken die Facebook-wachtwoorden stelen. Kijk dus altijd goed naar de recensies, probeer of je informatie over de ontwikkelaar kunt vinden, wees op je hoede als apps vragen om ruimhartige toestemming voor allerlei zaken en wees kritisch wat betreft de vraag of je bepaalde apps wel écht nodig hebt.

Lees ook:

Bron: BleepingComputer / Kaspersky