L’11 luglio, il capo di WhatsApp, Will Cathcart, ha twittato un thread sulle versioni false o modificate dell’applicazione di messaggistica istantanea più diffusa al mondo. “Ricordiamo agli utenti che scaricare una versione falsa o modificata di WhatsApp non è mai una buona idea. Queste app sembrano innocue ma possono aggirare le garanzie di privacy e sicurezza di WhatsApp”.

Queste versioni “clonate” offrono funzionalità extra, possono essere facilmente installate negli smartphone, dove funzionano come l’applicazione originale. Tuttavia, il sito ufficiale di WhatsApp avverte che non sono “supportate” perché sospettate di “raccogliere informazioni in maniera non accettabile, una pratica nota come scraping“. Se si rileva il loro utilizzo, l’account ufficiale di WhatsApp dell’utente verrà bloccato.

Fra queste versioni modificate (“mod”) c’è Fouad WhatsApp (anche conosciuta come “Fouad mod“). I suoi creatori ne hanno recentemente lanciato un’altra variante che avrebbe una nuova caratteristica: l'”Anti-Ban” (anti-blocco), che in teoria evita qualsiasi interdizione dell’utente. Questa innovazione è un altro passaggio nella costante rincorsa per attrarre più clienti. Ma cosa c’è dietro l'”anti-ban”?

Fouad WhatsApp, una cyber inchiesta

Il WhatsApp ufficiale e le mod

WhatsApp è fra i più diffusi social network in tutto il mondo, con circa 2 miliardi di utenti (secono il sito statista.com). Inoltre, l’applicazione ha anche generato un effetto a cascata, aprendo le porte a diverse imitazioni e mod.

Il sito ufficiale di WhatsApp definisce “WhatsApp Plus, GB WhatsApp, o le altre app che rivendicano la capacità di spostare le chat di WhatsApp in diversi telefoni” come versioni alterate. “Queste app non ufficiali sono sviluppate da terze parti e violano i nostri Termini di Servizio”, chiarisce la società. “WhatsApp non supporta queste app di terze parti perché non possiamo verificare le loro norme di sicurezza”.

Le mod sarebbero programmate per estrarre “informazioni [numeri di telefono, foto profilo o status], sia con obiettivi mirati sia su larga scala, attraverso strumenti manuali o automatizzati, per vari scopi non consentiti”.

E’ un grave problema per una società che al momento è orgogliosa di assicurare la privacy nelle comunicazioni attraverso la crittografia end-to-end (da estremo ad estremo). Solo gli utenti che stanno chattando possono leggere i loro messaggi; nessun estraneo (neanche la stessa piattaforma) può accedere ai contenuti privati.

Stando a WhatsApp, le mod non usano la crittografia e in alcuni casi hanno come obiettivo lo scraping. E’ proprio così?

Mod, come sono create

Creare una mod non è semplice, dal momento che WhatsApp non è open-source. E’ libero e si può usare senza pagare. Ma il suo codice sorgente (la struttura di base del programma) non è disponibile online: persone esterne non possono vederlo o eseguirlo. Per questo, costruire le mod richiede capacità e conoscenze (in un processo di ingegneria inversa).

Comunque, i loro sviluppatori spesso intercettano bisogni reali delle persone. La versione GB WhatsApp permette agli utenti con più di un account WhatsApp di accedere ai loro diversi profili sullo stesso dispositivo, oppure di vedere messaggi che sono stati cancellati. Con alcune mod, è possibile nascondere il destinatario delle comunicazioni, la conferma di aver visualizzato, e anche gli status “online“, “sta scrivendo” e “sta registrando“. Alcune versioni consentono di condividere video fino a 16 gigabyte, audio fino a 10 megabyte, e fissare gli status del profilo senza un limite di tempo.

In alcuni casi, queste mod ammettono l’esistenza di gruppi accessibili solo attraverso un codice PIN o addirittura un’impronta digitale, in un tentativo di mostrarsi interessati a sicurezza e privacy. Ma l’attenzione a questi temi non è così granitica.

Fouad Mod, un’app pericolosa

Lo sviluppatore di Fouad Mods (noto come “FoudMakkad“) ha da poco reso pubblica una nuova versione: la 9.41. Cercando il nome dell’app sul web, si possono trovare molti siti che ne consentono il download. Uno di questi sembra dedito solo a questa mod: www.fouadmods.net.

Qui, l’aggiornamento è descritto come “programmato” per fornire vari servizi: “personalizzazione, app protette, conversazioni protette, privacy e molti altri!”. Il sito è affidabile?

L’IP e i truffatori russi

MyIp.ms è uno strumento utile per analizzare un dominio. E’ un database online “che aiuta a scoprire chi ospita un sito”. Se si digita il nome del sito “fouadmods.net”, MyIp.ms mostra alcune informazioni sul server collegato.

Ha anche una sezione con informazioni sull‘indirizzo IP: una sequenza di cifre che identificano un’unica origine della connessione, praticamente impossibile da replicare. Stando a MyIp.ms, l’IP collegato a fouadmods.net è 188.114.96.2. Più di 600mila siti (e forse molte persone diverse tramite un reverse proxy) stanno utilizzando questo indirizzo.

La segnalazione dell’IP

Ad ogni modo, è registrato da Myip.ms in una lista nera. La ragione è una comunicazione da parte di un utente. Degli “hacker sono stati rilevati il 29 maggio del 2022”, recita l’avviso. Miso Bomadi aveva segnalato questo IP con una spiegazione precisa: “Truffatori russi! Bloccateli, per favore!”

Il file come Trojan

Fouad Mod 9.41 si può facilmente scaricare. Se si clicca la sezione “FouadWhatsApp” su fouadmods.net, si viene reindirizzati su un altro sito: www.apk.fm. Qui, si accede a una serie di applicazioni modificate per Android, incluso l’aggiornamento della nostra mod di WhatsApp.

Stando ad alcuni strumenti OSINT, questo file non sembra così sicuro. Se si analizza con alcuni servizi online, le risposte sono allarmanti.

Hybrid-Analysis

Hybrid-Analysis.com è un “servizio gratuito di analisi di virus che rileva minacce sconosciute”. L’ultimo aggiornamento di Fouad Mod (indicata qui come 9.40 e identificata dall'”impronta digitale” lasciata dal programma: SHA-256: 199aab57353be4cf5d64ee157db9e6f2d28f98b07605b191275031897f69b68c) è etichettato come “sospetto”.

VIRUS TOTAL

Analisi di Virus Total su Fouad Mod 9.41

VirusTotal.com converge sul punto. Si tratta di un sito che aggregga i risultati di alcuni antivirus per fornire il profilo del software che si vuole esaminare.

Qui, le versione Fouad Mod 9.41 (identificata dallo stesso SHA-256: 199aab57353be4cf5d64ee157db9e6f2d28f98b07605b191275031897f69b68c) è etichettata come “malevola” da 4 operatori. K7GW lo rileva come un “Trojan“, un virus che inganna gli utenti sulle sue reali finalità. Tencent lo identifica come uno “spiderbank”, un programma usato per raccogliere informazioni.

Gli indizi per un’individuazione

Usare una mod può essere pericoloso. Il blog world-today-news.com aveva elencato nel 2021 5 modi in cui una persona può rendersi conto che un suo contatto sta usando una versione non ufficiale di WhatsApp.

  1. Visto l’ultima volta: in alcune mod, il parametro “visto l’ultima volta” non può essere aggiornato e la descrizione mostra solamente il momento in cui l’app è stata scaricata. Per esempio, se la mod è stata scaricata nel 2020, allora la descrizione di “visto l’ultima volta” sarà “attivo nel 2020”, anche se l’account è stato usato successivamente;
  2. Controllo messaggi: nelle mod, “anche se c’è una sola spunta grigia, i messaggi possono aver raggiunto il destinatario, e quest’ultimo può rispondere senza che si cambi la spunta;
  3. Cancellazione dei messaggi: “se il messaggio inviato è stato cancellato ma il destinatario ha potuto rispondere, sta usando una mod”;
  4. Status: “se il tuo status ha superato le 24 ore o è stato cancellato, ma altri utenti possono rispondere a messaggi sullo status che non c’è più, allora usano una mod”;
  5. Sta Digitando: nelle mod, la funzione “sta digitando” può essere disabilitata. Un utente che sta ricevendo continui messaggi senza vedere la descrizione “sta digitando” sul profilo di chi li sta inviando, può ipotizzare che l’interlocutore stia usando una mod.

Altri indizi potevano essere:

Video sopra i 30 secondi: le persone non possono inserire video degli status sopra i 30 secondi sulla versione originale di WhatsApp, mentre alcune mod lo consentono;

Spamming: altri comportamenti strani includono l’aggiunta di persone all’interno di gruppi senza la loro volontà, l’invio o l’inoltro di messaggi in massa.

Il rilevamento delle anomalie

L’intelligenza artificiale può rilevare delle anomalìe.

Per esempio,WhatsApp può identificare in automatico lo spam sulla base di:

  1. tasso di messaggi inviati molto alto in un breve lasso di tempo;
  2. invio a molti destinatari di messaggi identici (anche se il testo è crittografato, sono rilevabili perché usano la stessa “somma hash“);
  3. alto volume di messaggi inviati.

In più, stando a Cathcart, “Google Play Protect sui dispositivi Android può rilevare e disabilitare versioni false di WhatsApp scaricate in precedenza”.

Ma le caratteristiche menzionate possono anche indurre un utente che nota incongruenze col suo interlocutore a cliccare sul bottone “Segnala Spam” oppure “Blocca“. Dopo alcune segnalazioni, WhatsApp può temporaneamente sospendere l’account indiziato.

L’anti-ban

Eppure, i creatori delle mod sono consapevoli di questa battaglia e stanno tentando di reagire creando cloni che non possono essere riconosciuti.

A differenza delle versioni precedenti, la nuova Fouad Mod è orgogliosamente descritta come anti-blocco. Il sito apk.fm afferma che le “caratteristiche di quest’applicazione sono costantemente aggiornate così da essere al sicuro da un qualsiasi blocco”.

Qualche dubbio può sorgere sulle reali innovazioni tecnologiche di una versione “anti-ban”. Il sito hackerbot.net, parlando dei blocchi nei videogiochi, suggeriva che “l’anti-ban è solo un termine di marketing che usano i siti opachi” per persuadere la gente a scaricare i programmi.

Il 4 settembre il sito lusogamer.com spiegava come agirebbe la mod WhatsApp+ con anti-ban. Questa versione non può condurre a sospensioni perché, si legge, “segue alcune regole del prodotto originale. Perciò, si chiama app anti-ban”. In poche parole, è un’emulazione più accurata.

Imitazioni

La capacità di WhatsApp di raggiunge gli utenti è enorme. Dal momento del suo lancio, nel 2009, i suoi servizi sono diventati comuni in più di 180 Paesi. Eppure, 5 nazioni nel mondo hanno limitato WhatsApp in vari modi: Cina, Corea del Nord, Siria, Qatar ed Emirati Arabi. La maggior parte bandiscono l’app per ragioni di sicurezza o politiche, mentre altre vogliono promuovere società di telecomunicazioni locali.

Dubai e gli altri Emirati non la vietano in toto. Solamente non si possono fare chiamate audio o video con WhatsApp, ma si possono inviare e ricevere messaggi di testo.

In Cina

Il caso della Cina è più problematico. Lì, un “Grande FireWall” (come lo ha chiamato la giornalista Lulu Chen nel suo libro del 2022 “Influence Empire: The Story of Tencent and China’s Tech Ambition”) impedisce a molte persone di accedere a Facebook, Twitter, Instagram, Youtube e al New York Times.

Un’altra app, WeChat, offre gli stessi servizi di messaggistica, ma gestiti da una società cinese. Nata come un programma simile a WhatsApp, ora WeChat si è trasformata in un market online, diventando una fusione degli occidentali WhatsApp, Facebook e eBay. Al momento, è “la più grande piattaforma social del mondo dopo Facebook e WhatsApp, e attrae più utenti di Twitter e Snapchat“, stando a Chen.

Ma WeChat ha oggi a che fare con il problema della censura. I controllori del governo cinese hanno iniziato a monitorare le conversazioni private e le chat (con il beneplacito della società proprietaria dell’app: Tencent). Utenti sono stati bloccati o addirittura fermati della polizia per aver inviato messaggi con critiche al governo. L’intelligenza artificiale oggi aiuta l’app a rilevare parole o immagini proibite e a vagliare i messaggi vocali.

Imitazioni e mod di WhatsApp si stanno evolvendo in un cyberspazio più controllato. I sentieri imperscrutabili delle app di messaggistica istantanea non sempre sono così promettenti.

 

What is your reaction?

Excited
0
Happy
1
In Love
0
Not Sure
0
Silly
0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Leggi anche