Extra zákeřný virus zneužívá WhatsApp a instaluje do telefonu trvalá zadní vrátka

Na první pohled neškodný „nástroj pro práci s WhatsAppem“ je ve skutečnosti nebezpečný virus, který umí potají převzít kontrolu nad účtem, číst zprávy a vytvořit přístup útočníkovi.

Lukáš Altman (Mobify.cz) a WhatsApp

Útočníci čím dál častěji sází na triky, které neohrožují jen běžné uživatele, ale i vývojáře a firmy. Redakce Mobify aktuálně zaznamenala škodlivý balíček maskovaný za knihovnu pro práci s WhatsAppem. Ve skutečnosti však umožňuje sledovat zprávy, krást data a hlavně vytvořit skrytý, trvalý přístup k účtu cizímu člověku.

Malware zneužívá WhatsApp od úplného začátku

V repozitáři npm (datové úložiště systému, uvádí Wikipedia) byl objeven nebezpečný balíček „lotusbail“. Na první pohled vypadal jako běžné rozhraní pro připojení k WhatsAppu, tedy něco, co umožňuje posílat a přijímat zprávy jako program. Kód tedy skutečně funguje, což je důležité vzít v potaz, protože tím pádem nevzbuzuje podezření.

Ve skutečnosti ale obsahuje škodlivé části, které nenápadně zachytávají přihlašovací údaje, obsah zpráv, seznam kontaktů i třeba sdílené soubory. Tyto informace jsou následně zašifrovány (tedy převedeny do běžně nečitelné podoby) a odeslány na vzdálený server ovládaný útočníkem.

Vytvořená trvalá zadní vrátka bez vědomí uživatele

Největší nebezpečí ale spočívá přece jen jinde. Malware totiž zneužívá funkci zvanou „připojení zařízení“, kterou aplikace běžně nabízí třeba pro používání na více telefonech či počítači, vysvětluje WhatsApp. Pomocí pevně nastaveného párovacího kódu dojde k tomu, že se k účtu oběti automaticky připojí i zařízení útočníka.

Pokud později problematickou knihovnu třeba i smažete, cizí zařízení stejně zůstane k účtu připojené, dokud ho ručně neodpojíte přímo v nastavení WhatsAppu. Útočník tak může do té doby bez problémů číst konverzace, vidět nové zprávy a mít přístup ke kontaktům. A uživatel o tom vůbec nemusí vědět.

Tradiční bezpečnostní kontroly v takovém případě selžou, protože kód dělá přesně to, co slibuje, tedy komunikuje s WhatsAppem. Škodlivé funkce se spustí automaticky během přihlášení a nejsou schované za žádným podezřelým tlačítkem.

Navíc malware obsahuje ochranu proti ladění, což je postup pro nalézání a snižování množství chyb, píše Wikipedia (tzv. antidebugging). Pokud se někdo pokusí kód analyzovat pomocí vývojářských nástrojů, aplikace se může zaseknout nebo přestat reagovat, a to výrazně zkomplikuje odhalení problému.

Podobné případy hlásí i velké firmy

I bezpečnostní firmy upozorňují na falešné balíčky pod názvem NuGet, pro změnu zaměřené na kryptoměny, které se vydávají za známé nástroje a potají přesměrovávají transakce. Pokud částka překročí 100 dolarů (zhruba 2 300 Kč), peníze skončí u podvodníka. Jinde se zase kradou přístupové údaje k reklamním účtům, což může vést k neomezenému utrácení za podvodné kampaně, upozornil theHackerNews.

Myslíme si, že je v tomto případě zásadní opatrnost při instalaci jakýchkoli knihoven a aplikací. Sledujte původ, autora i reálné využití nástroje. U WhatsAppu doporučujeme pravidelně kontrolovat seznam připojených zařízení a ta neznámá okamžitě odpojit. Firmám a vývojářům pak dává smysl provádět hloubkové kontroly kódu a nespoléhat jen na počet stažení či popularitu.