Siendo la aplicación de mensajería instantánea más usada en todo el mundo, no es de extrañar que los delincuentes la utilicen como gancho para conseguir nuevas víctimas. Precisamente, uno de los engaños más típicos que se utilizan para conseguir que un usuario instale una aplicación maliciosa son las versiones especiales de esta aplicación, con supuestas nuevas funcionalidades y la posibilidad de personalizar el color de la misma. A pesar de ser engaños utilizados desde hace bastantes años, cada cierto tiempo vuelven a la carga, tal y como ha sucedido recientemente con la versión rosa de WhatsApp.
La versión rosa de WhatsApp
Tal y como ya ha sucedido en ocasiones anteriores, los delincuentes tratan de llamar la atención de los usuarios de esta conocida aplicación de mensajería ofreciendo algo novedoso o diferenciador con respecto a la app oficial. En esta ocasión la principal novedad es la posibilidad de personalizar la interfaz de la aplicación con un llamativo color rosa, y para ello los delincuentes han preparado un sitio web especial promocionando su instalación, aunque, como suele suceder, esta aplicación maliciosa está pensada para dispositivos Android.
En caso de que alguien sienta la imperiosa necesidad de instalar esta supuesta versión de WhatsApp, los delincuentes han proporcionado un botón de descarga desde el cual se puede bajar el instalador al dispositivo. Al tratarse de una app descargada desde fuera de una tienda oficial como Google Play, los usuarios que quieran instalarla primero deberán habilitar la posibilidad de instalar aplicaciones desde orígenes desconocidos.
Funcionamiento de la aplicación
Si tras instalar esta app fraudulenta el usuario trata de arrancarla, observará como se le solicita conceder un permiso de notificaciones a esta aplicación. Seguidamente será redirigido a la web desde donde se descargó inicialmente esta versión maliciosa de WhatsApp y, cuando se trate de volver a acceder a la app, esta desaparecerá de la pantalla del dispositivo. Llegados a este punto, la aplicación fraudulenta habrá quedado instalada en el sistema, fuera de la vista de la víctima y con los permisos necesarios para realizar sus actividades maliciosas.
A partir de ese momento, cualquiera de los contactos de la víctima que le envíe un mensaje a través de aplicaciones de mensajería como la propia WhatsApp, Telegram o Signal recibirá una contestación automática enviada por el malware invitándole a descargar e instalar esta versión rosa de WhatsApp mediante un enlace, tal y como se observa en el vídeo a continuación grabado por nuestro compañero Lukas Stefanko, especialista en el análisis de malware dirigido a Android.
Aparentemente, esta aplicación no realiza ninguna acción más y es probable que los delincuentes estén probando sus posibilidades de propagación automática para obtener beneficios de alguna forma a partir de los dispositivos de los usuarios infectados. Un ejemplo podría ser mediante anuncios publicitarios, aunque existen muchas otras posibilidades.
Además, tal y como nos indica Lukas, esta supuesta versión rosa de WhatsApp es la evolución de otro malware muy similar analizado por ESET a finales de enero. En esa ocasión, el malware se hacía pasar por una supuesta aplicación legítima de Huawei y propagaba sus enlaces maliciosos a través de WhatsApp, contestando automáticamente a cualquier contacto que enviase un mensaje.
Conclusión
Esta forma de propagación automática puede resultar especialmente peligrosa si los delincuentes la combinan con una amenaza pensada para dispositivos Android, tal como un troyano bancario o incluso un ransomware. Con el elevado número de usuarios de aplicaciones de mensajería móvil, el número de víctimas potenciales podría ser elevado, por lo que es importante recordar la importancia de no descargar apps desde orígenes desconocidos que no sean de confianza y contar con una solución de seguridad instalada que pueda detectar y eliminar estas amenazas.