Bezpečnostný tím WhatsAppu odhalil neoficiálnu verziu aplikácie, ktorú útočníci šírili mimo oficiálnych obchodov App Store a Google Play. Distribúcia prebiehala prostredníctvom tretích strán. O prípade informovala talianska tlačová agentúra ANSA.
Spyware od talianskej firmy
Podvodnú aplikáciu, vizuálne napodobňujúcu originálny WhatsApp, vytvorila talianska spoločnosť Asigint. Tú kontroluje firma Sio Spa so sídlom v meste Cantù. Škodlivý softvér nesie označenie Spyrtacus a jeho schopnosti sú rozsiahle. Dokázal kradnúť SMS správy, konverzácie z WhatsAppu, Signalu aj Messengeru, nahrávať okolité zvuky, snímať obraz z prednej kamery a zbierať zoznamy kontaktov z napadnutého zariadenia.
Útok využíval techniku sociálneho inžinierstva. Ide o metódu, pri ktorej útočníci manipulujú obete tak, aby samy vykonali požadovanú akciu, v tomto prípade inštaláciu škodlivej aplikácie. Používatelia boli oklamaní, aby si falošnú verziu stiahli ako údajnú aktualizáciu WhatsAppu.
Cielený útok na malú skupinu
WhatsApp incident označil za premyslený pokus zameraný na obmedzený počet ľudí. „Domnievame sa, že ide o vysoko cielený pokus o sociálne inžinierstvo, zameraný na obmedzený počet používateľov s cieľom primäť ich k inštalácii škodlivého softvéru napodobňujúceho WhatsApp, pravdepodobne za účelom získania prístupu k ich zariadeniam,“ uviedla spoločnosť.
Samotná platforma WhatsApp nebola napadnutá. Problém spočíval výhradne v podvodnom klientovi, ktorý si používatelia stiahli z vlastnej vôle mimo oficiálnych distribučných kanálov. Oficiálna infraštruktúra zostala nedotknutá.
Účty okamžite zablokovali
Vedenie WhatsAppu po odhalení prípadu okamžite zablokovalo dotknuté účty. Zaslalo tiež varovania o bezpečnostných rizikách všetkým postihnutým používateľom. Firma zároveň podala formálnu sťažnosť na spoločnosť Asigint.
WhatsApp zopakoval odporúčania, ktoré platia pri každom podobnom incidente. Aplikácie by si používatelia mali inštalovať výhradne z App Store alebo Google Play, čím sa vyhnú stiahnutiu škodlivého softvéru vydávajúceho sa za legitímnu aplikáciu alebo jej aktualizáciu. Ďalším krokom je aktivácia dvojfázového overovania priamo v nastaveniach WhatsAppu a sledovanie podozrivých notifikácií.
Ako sa chrániť
Základným pravidlom zostáva neinštalovať aplikácie z neoverených zdrojov. Akákoľvek výzva na stiahnutie „aktualizácie“ mimo oficiálneho obchodu by mala byť varovným signálom. Dvojfázové overovanie pridáva k účtu ďalšiu vrstvu ochrany, pretože aj v prípade kompromitácie zariadenia sťažuje útočníkovi prístup k samotnému účtu.
Ak si používateľ nie je istý, či je ponúkaná aplikácia alebo aktualizácia legitímna, WhatsApp odporúča obrátiť sa na niekoho z okolia. Môže to byť rodič, alebo naopak technicky zdatnejší člen rodiny.
