Компания ESET сообщила о новой фишинговой атаке в мессенджере WhatsApp – пользователям предлагается установить расширение, якобы предназначенное для изменения цвета интерфейса. Как считают эксперты ESET, атака направлена на жителей Бразилии и испаноговорящих стран, поскольку сообщения составлены на португальском и испанском. Однако при этом приложение стремится подписать пользователей на уведомления с русскоязычного ресурса.

Потенциальные жертвы получают сообщение, которое предлагает изменить зеленый цвет интерфейса WhatsApp на любой другой. Для активации пользователю нужно перейти по ссылке и установить вредоносную программу. В зависимости от ОС и устройства, которое использует жертва, загрузка программы происходит по двум сценариям. Пользователям ПК и ноутбуков предлагается загрузить расширение для браузера Chrome под названием Black Theme for WhatsApp. После открытия мессенджера установленное расширение автоматически разошлет «заманчивое» предложение по списку контактов и групповым чатам.

Данное расширение до сих пор доступно в интернет-магазине Chrome. В настоящий момент число загрузок достигло почти 16 тыс.

Сценарий для пользователей смартфонов иной – они получают уведомление о необходимости поделиться ссылкой с 30 друзьями или 10 чатами, только после этого появится возможность изменить цвет. Далее пользователь получает сообщение о необходимости скачать APK-файл под названием best_video.apk и подписаться на уведомления с русскоязычного ресурса.

Если пользователь выполнит все инструкции, его мобильный телефон будет заражен трояном для показа рекламы, который продукты ESET NOD32 детектируют как Android/Hiddad. Причем пользователь изначально не замечает присутствие вредоносного ПО: демонстрация рекламных баннеров начинается только во время использования WhatsApp.

Компания ESET рекомендует игнорировать сомнительные письма и не переходить по подозрительным ссылкам, даже если они присланы друзьями. Кроме того, при получив подобное сообщение в мессенджере, стоит уточнить у отправителя, действительно ли он его посылал, поскольку спам-рассылка может быть сделана без его ведома.