Stovky lidí si stáhly aplikaci, která se vydává za WhatsApp a tiše špehuje jejich telefony
Stovky uživatelů si nainstalovaly aplikaci napodobující WhatsApp, aniž by tušily, že do svého telefonu vpouštějí špionský software. Problém se nejvýrazněji projevil v Itálii, ale způsob útoku je natolik univerzální, že může postihnout kohokoli, kdo instaluje programy mimo oficiální obchody.
Falešný WhatsApp: jak útok probíhal
WhatsApp oznámil, že identifikoval přibližně 200 účtů, na nichž byla použita neoficiální, upravená verze komunikátoru. Naprostá většina případů se týká uživatelů z Itálie. Scénář je celkem přímočarý: někdo obdrží odkaz na aplikaci připomínající WhatsApp, uvidí známé logo a název, a bez většího váhání soubor stáhne a nainstaluje.
Po instalaci takový „klient" zvenku vypadá téměř identicky jako běžný komunikátor. Rozdíl se skrývá tam, kde ho není vidět. Na pozadí běží špionský modul, který získává přístup k vybraným datům telefonu. Může jít o informace o hovorech, části dat z komunikátoru, kontakty, informace o zařízení nebo aktivitu v síti.
Mechanismus útoku stojí na jediném principu: aby si uživatel škodlivou aplikaci sám, s plným přesvědčením, nainstaloval a udělil jí veškerá potřebná oprávnění.
Co WhatsApp podnikl a proč nešlo o „díru" v komunikátoru
Jakmile bezpečnostní tým WhatsApp kampaň s falešnou aplikací odhalil, účty, které s ní mohly přijít do kontaktu, byly od služby odpojeny. Majitelé dotčených čísel dostali varování a byli nuceni znovu se přihlásit prostřednictvím oficiální aplikace.
Zástupci komunikátoru zdůrazňují, že šifrování end-to-end funguje správně a k průniku do původní aplikace nedošlo. Nebyla zjištěna ani žádná zranitelnost v infrastruktuře společnosti Meta. Problémem bylo výhradně to, že část uživatelů vědomě — byť bez znalosti rizika — nainstalovala externí program vydávající se za známou službu.
Útok tedy nespočíval v „prolomení" zabezpečení WhatsApp. Místo toho využil skutečnosti, že na Androidu lze ručně instalovat aplikace mimo Google Play, pokud uživatel v nastavení odsouhlasí dodatečná oprávnění.
Kdo za kampaní s falešnou aplikací stojí
WhatsApp poukazuje na italskou firmu z odvětví digitálního dohledu, působící pod názvem SIO prostřednictvím dceřiné společnosti Asigint. Tato firma se specializuje na technologie sledování a sběru dat, které často prodává veřejným institucím, bezpečnostním složkám nebo soukromým zadavatelům.
Meta, pod niž WhatsApp patří, avizuje právní kroky s cílem tuto činnost zastavit. Není to poprvé, co se komunikátor dostane do střetu s dodavateli špionského softwaru. V předchozích letech byly před podobnými nástroji varovány novináři, aktivisté i zástupci nevládních organizací. Tyto kauzy nezřídka vyústily v hlučné rozvázání smluv s firmami, které takové monitorovací systémy dodávaly.
Průmysl špionských aplikací posiluje
Trh s komerčním špionským softwarem se neomezuje na jednotlivé hráče. Fungují celé ekosystémy firem, které:
- vyvíjejí software pro vzdálené sledování zařízení,
- prodávají přístup k hotovým nástrojům na klíč,
- nabízejí „analytické služby" založené na zachycených datech,
- realizují cílené kampaně zaměřené na konkrétní osoby nebo skupiny.
Taková podniky se často prezentují jako bezpečnostní partneři nebo dodavatelé „legálního dohledu". Jejich nástroje však mohou skončit i v rukou subjektů, které je využívají k neoprávněnému sledování běžných uživatelů internetu.
Proč uživatelé na falešné aplikace naletí
Útočníci nepotřebují hluboké znalosti systémových zranitelností. Soustředí se na psychologii. V případě falešného WhatsApp obvykle funguje několik faktorů najednou: spěch, důvěra v odesílatele odkazu, známé logo a název a navíc příslib dalších funkcí nebo „vylepšené" verze komunikátoru.
V praxi lidé často:
- kliknou na odkaz doručený e-mailem, SMS nebo přes komunikátor,
- odsouhlasí varování o instalaci z neznámého zdroje, protože „přece to mají všichni",
- udělí aplikaci široká oprávnění, protože jinak „nebude fungovat".
Tento vzorec se netýká jen WhatsApp. Podobné kampaně zneužívají falešné verze mobilního bankovnictví, komunikátorů, vládních aplikací nebo nástrojů pro práci na dálku. Iluze „oficiálnosti" je velmi silná, zvláště pokud odkaz rozesílá někdo známý, kdo byl sám předtím infikován.
Kyberzločinci stále méně dobývají pevné dveře silou — raději požádají, aby jim někdo sám dokořán otevřel a pozval je dovnitř.
Jak falešný WhatsApp rozpoznat a vyhnout se mu
WhatsApp při této příležitosti připomíná základní pravidlo: aplikace stahujeme výhradně z oficiálních obchodů — Google Play, App Store nebo z oficiálních stránek výrobce v případě počítačových programů. Každá odchylka od tohoto pravidla zvyšuje riziko instalace škodlivého softwaru.
5 praktických kroků pro běžného uživatele
| Opatření | Proč ho dělat |
|---|---|
| Instalace aplikací pouze z oficiálních obchodů | Snižuje riziko narazit na upravené, infikované verze programů. |
| Vypnutí instalace z „neznámých zdrojů" v nastavení | Přidává další bariéru — každý takový krok musíte vědomě potvrdit. |
| Kontrola oprávnění aplikací po instalaci | Pomáhá odhalit, když komunikátor požaduje přístup k věcem, které nepotřebuje. |
| Aktualizace systému a aplikací | Snižuje riziko zneužití známých zranitelností. |
| Zdravý odstup od odkazů z neznámých zdrojů | Chrání před kliknutím na chytře připravenou zprávu nebo falešnou stránku ke stažení. |
Pokud někdo podezřívá, že si mohl nainstalovat falešnou verzi WhatsApp, měl by co nejdříve:
- podezřelou aplikaci odinstalovat,
- zařízení prohledat ověřeným antivirovým nástrojem,
- změnit hesla k nejdůležitějším službám (e-mail, bankovnictví, sociální sítě),
- zkontrolovat, zda se v systému neobjevily nové, neznámé profily nebo administrátorské aplikace.
Co špionská aplikace skutečně může vidět
Přesné možnosti závisejí na konkrétním nástroji, udělených oprávněních a modelu telefonu. V mnoha případech takový program dokáže sbírat metadata spojená s komunikací: kdy, s kým a jak často uživatel komunikuje, a někdy i zachytit obsah mimo chráněnou vrstvu šifrování.
Pokud spyware získá přístup k paměti zařízení nebo k oznámením, může nahlédnout do fragmentů konverzací, snímků obrazovky, seznamů kontaktů a také přihlašovacích tokenů jiných aplikací. To otevírá cestu k dalším zneužitím — například k převzetí účtů na sociálních sítích nebo přihlášení k finančním službám.
Obzvláště nebezpečné jsou situace, kdy někdo infikovanou aplikaci dál šíří v přesvědčení, že přátelům pomáhá nainstalovat „lepší verzi", místo aby je před hrozbou varoval.
Proč samotná technika nestačí
Případ falešného WhatsApp ukazuje propast mezi technickým zabezpečením a lidskými návyky. Ani sebelépe zabezpečená služba neochrání před situací, kdy někdo vědomě pustí do svého telefonu cizí software v domění, že jde o tutéž aplikaci, jen z jiného zdroje.
V každodenním používání telefonu stojí za to zacházet se smartphonem spíše jako s peněženkou než s hračkou. Kdyby vám na ulici někdo podal novou „oficiální" peněženku a požádal vás, ať do ní přeložíte karty, nejspíš byste odmítli. U aplikací platí stejná logika: pokud odkaz vedoucí k údajnému WhatsApp nepochází z Google Play nebo App Store, ignorujte ho — i kdyby vypadal sebevíc lákavě.
Stále více útoků bude zneužívat známé značky a důvěryhodné služby, protože právě ty přitahují největší pozornost. Znalost těchto schémat výrazně usnadňuje rozpoznání pokusu o manipulaci. A několik jednoduchých, důsledně dodržovaných návyků při instalaci aplikací dokáže ochránit i před důsledky těch nejpropracovanějších špionských nástrojů.
