Extra zákeřný virus zneužívá WhatsApp a instaluje do telefonu trvalá zadní vrátka
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Na první pohled neškodný „nástroj pro práci s WhatsAppem“ je ve skutečnosti nebezpečný virus, který umí potají převzít kontrolu nad účtem, číst zprávy a vytvořit přístup útočníkovi.
Útočníci čím dál častěji sází na triky, které neohrožují jen běžné uživatele, ale i vývojáře a firmy. Redakce Mobify aktuálně zaznamenala škodlivý balíček maskovaný za knihovnu pro práci s WhatsAppem. Ve skutečnosti však umožňuje sledovat zprávy, krást data a hlavně vytvořit skrytý, trvalý přístup k účtu cizímu člověku.
Malware zneužívá WhatsApp od úplného začátku
V repozitáři npm (datové úložiště systému, uvádí Wikipedia) byl objeven nebezpečný balíček „lotusbail“. Na první pohled vypadal jako běžné rozhraní pro připojení k WhatsAppu, tedy něco, co umožňuje posílat a přijímat zprávy jako program. Kód tedy skutečně funguje, což je důležité vzít v potaz, protože tím pádem nevzbuzuje podezření.
Ve skutečnosti ale obsahuje škodlivé části, které nenápadně zachytávají přihlašovací údaje, obsah zpráv, seznam kontaktů i třeba sdílené soubory. Tyto informace jsou následně zašifrovány (tedy převedeny do běžně nečitelné podoby) a odeslány na vzdálený server ovládaný útočníkem.
Vytvořená trvalá zadní vrátka bez vědomí uživatele
Největší nebezpečí ale spočívá přece jen jinde. Malware totiž zneužívá funkci zvanou „připojení zařízení“, kterou aplikace běžně nabízí třeba pro používání na více telefonech či počítači, vysvětluje WhatsApp. Pomocí pevně nastaveného párovacího kódu dojde k tomu, že se k účtu oběti automaticky připojí i zařízení útočníka.
Pokud později problematickou knihovnu třeba i smažete, cizí zařízení stejně zůstane k účtu připojené, dokud ho ručně neodpojíte přímo v nastavení WhatsAppu. Útočník tak může do té doby bez problémů číst konverzace, vidět nové zprávy a mít přístup ke kontaktům. A uživatel o tom vůbec nemusí vědět.
Tradiční bezpečnostní kontroly v takovém případě selžou, protože kód dělá přesně to, co slibuje, tedy komunikuje s WhatsAppem. Škodlivé funkce se spustí automaticky během přihlášení a nejsou schované za žádným podezřelým tlačítkem.
Navíc malware obsahuje ochranu proti ladění, což je postup pro nalézání a snižování množství chyb, píše Wikipedia (tzv. antidebugging). Pokud se někdo pokusí kód analyzovat pomocí vývojářských nástrojů, aplikace se může zaseknout nebo přestat reagovat, a to výrazně zkomplikuje odhalení problému.
Podobné případy hlásí i velké firmy
I bezpečnostní firmy upozorňují na falešné balíčky pod názvem NuGet, pro změnu zaměřené na kryptoměny, které se vydávají za známé nástroje a potají přesměrovávají transakce. Pokud částka překročí 100 dolarů (zhruba 2 300 Kč), peníze skončí u podvodníka. Jinde se zase kradou přístupové údaje k reklamním účtům, což může vést k neomezenému utrácení za podvodné kampaně, upozornil theHackerNews.
Myslíme si, že je v tomto případě zásadní opatrnost při instalaci jakýchkoli knihoven a aplikací. Sledujte původ, autora i reálné využití nástroje. U WhatsAppu doporučujeme pravidelně kontrolovat seznam připojených zařízení a ta neznámá okamžitě odpojit. Firmám a vývojářům pak dává smysl provádět hloubkové kontroly kódu a nespoléhat jen na počet stažení či popularitu.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews