Nos últimos dias, vários relatórios chegaram ao laboratório da ESET sobre uma mensagem que chega através do WhatsApp convidando os usuários a acabar com a monotonia do verde tradicional do aplicativo e acessar novas cores com apenas um clique. Por esse motivo, neste post explicamos o que está por trás desse golpe que busca encher os celulares com publicidade.

Como de costume nesse tipo de campanha, o link reage de maneira diferente se você clicar através de um celular ou via computador por meio do aplicativo WhatsApp web.

No caso de acesso de um computador através do WhatsApp web, o usuário é convidado a instalar uma extensão do Google Chrome, chamada Black Theme for Whatsapp, que permitirá mudar o aplicativo para uma cor mais escura.

Site para o qual o usuário será redirecionado caso acesse a página do golpe via WhatsApp Web.

Essa extensão pode ser encontrada dentro da Chrome Web Store e apresenta um número significativo de downloads, o que nos dá uma ideia do alcance da campanha.

Extensão no Google Chrome, chamada Black Theme for Whatsapp.

Caso um usuário desavisado instale a extensão e abra a sua sessão através do WhatsApp web, ele enviará automaticamente uma mensagem para toda a lista de chats ativos, convidando-os a alterar as cores do aplicativo.

No complemento é possível encontrar mensagens em diferentes idiomas (1), além dos diferentes componentes que compõem a mensagem (2, 3 e 4), incluindo a imagem (5), também para diferentes idiomas.

 

Existem também URLs diferentes (6) que podem estar associadas à mensagem que está sendo construída de maneira aleatória (7) à medida que as mensagens são enviadas.

Mesmo que o usuário esteja ciente do que está acontecendo e feche a janela do navegador web, a ação não será interrompida, pois é o próprio celular que envia as mensagens.

Essa funcionalidade específica demonstra as estratégias usadas pelos atacantes para propagar com rapidez e eficiência esse tipo de campanha e, assim, obter um alcance bem maior. Além disso, é a resposta para muitos usuários quando nos perguntam como é possível que essa mensagem atinja todos os seus contatos quando eles nunca compartilharam a mensagem de forma consciente.

Por outro lado, se o link é acessado de forma convencional a partir do celular, uma mensagem aparece pedindo ao usuário para compartilhar o aplicativo com 30 amigos ou 10 grupos antes de chegar à possibilidade da prometida mudança de cores.

Se você acessar pelo celular, a seguinte mensagem aparecerá solicitando que um convite seja enviado aos seus contatos para continuar.

Da mesma forma, embora não seja compartilhada com contatos e caso o usuário queira continuar, o aplicativo começa a mostrar seu verdadeiro propósito e solicita simultaneamente o download de um APK (arquivo de instalação de aplicativo Android) chamado best_video.apk e a ativação de notificações de um servidor localizado na Rússia.

Se a vítima permitir que isso aconteça, o celular será infectado com uma variante detectada pelas soluções da ESET, como o Android/Hiddad, uma família de trojans que já haviamos identificado propagando adware entre os usuários do Android.

Vale ressaltar que este aplicativo se instala no dispositivo, mas não deixa evidência de sua instalação, já que o ícone fica oculto e só é ativado quando o usuário inicia a navegação, exibindo banners publicitários relacionados a diferentes serviços de propaganda. No entanto, para o usuário, não fica claro que seus recursos estão sendo usados ​​para esse tipo de ação.

 

No momento de cuidar desses tipos de ameaças que utilizam estratégias de engenharia social, que buscam seduzir o usuário a acessar um link com uma promessa atrativa no meio, como neste caso, personalizar seu WhatsApp, sempre devemos lembrar de nunca clicar em links que são enviados através de qualquer meio digital, mesmo quando é enviado através de um contato conhecido. Nestes casos, a primeira coisa que devemos fazer é verificar a veracidade da mensagem, ou seja, perguntar à pessoa que nos enviou a mensagem - neste caso, a mudança de cor do WhatsApp - se é algo que nos enviou conscientemente ou se foi por ter sido vítima de um golpe.

Além disso, instale em seu celular uma solução de segurança que possa alertas em caso de links ou downloads com conteúdos maliciosos.

Hashes das amostras

6f414b490b18035ccee0ef02e4acfc1998304d35  Black-Theme-for-WhatsApp™_v3.27.crx

28d32d69fdc4ada0140905d270c75f88b9b8025c  best_video.apk