Stovky lidí si stáhly aplikaci vydávající se za WhatsApp a nevědomky si do telefonu nainstalovaly špionský software
Nejsilněji útok zasáhl Itálii, ale samotný způsob provedení je natolik univerzální, že se může dotknout každého, kdo instaluje programy mimo oficiální obchody s aplikacemi. Za vším stojí firma z odvětví digitálního dohledu a jejím cílem je tichá sledování smartphonů.
Falešný WhatsApp: jak útok probíhal
WhatsApp oznámil, že identifikoval přibližně 200 účtů, u nichž byla použita neoficiální, upravená verze komunikátoru. Drtivá většina případů se týká uživatelů z Itálie. Scénář je poměrně přímočarý: někdo obdrží odkaz na aplikaci připomínající WhatsApp, uvidí známé logo i název, a bez větších pochybností stáhne instalační soubor.
Po instalaci takový „klient" zvenčí vypadá téměř stejně jako běžný komunikátor. Rozdíl se skrývá tam, kde ho nikdo nehledá: na pozadí běží špionský modul, který získává přístup k vybraným datům telefonu. Může jít o informace o hovorech, částečná data z komunikátoru, kontakty, údaje o zařízení nebo aktivitu v síti.
Mechanismus útoku stojí na tom, aby uživatel sám, s plným přesvědčením, nainstaloval škodlivou aplikaci a udělil jí veškerá potřebná oprávnění.
Co WhatsApp podnikl a proč nejde o „díru" v komunikátoru
Jakmile bezpečnostní tým WhatsAppu odhalil kampaň využívající falešnou aplikaci, účty, které s ní mohly přijít do kontaktu, byly od služby odpojeny. Firma varovala majitele dotčených čísel a vynutila si nové přihlášení prostřednictvím oficiálního klienta.
Zástupci komunikátoru zdůrazňují, že end-to-end šifrování funguje správně a k žádnému průlomu do původní aplikace nedošlo. Nebyla zjištěna ani žádná zranitelnost v infrastruktuře společnosti Meta. Problémem je výhradně to, že část lidí vědomě — byť bez znalosti rizika — nainstalovala externí program vydávající se za známou službu.
Jinými slovy, útok nespočíval v „prolomení" zabezpečení WhatsAppu. Místo toho byl zneužit fakt, že na Androidu (a v menší míře i na jiných platformách) lze ručně instalovat aplikace mimo Google Play po odsouhlasení dodatečných oprávnění v nastavení.
Kdo stojí za kampaní s falešnou aplikací
WhatsApp poukazuje na italskou firmu z odvětví digitálního dohledu působící pod názvem SIO prostřednictvím dceřiné společnosti Asigint. Tento podnik se má specializovat na technologie sledování a sběru dat, které běžně prodává veřejným institucím, bezpečnostním složkám nebo soukromým zadavatelům.
Meta, do níž WhatsApp patří, avizuje právní kroky s cílem tuto činnost zastavit. Není to poprvé, kdy se komunikátor střetl s dodavateli špionského softwaru. V předchozích letech byli varováni novináři, aktivisté a zástupci občanských organizací, kteří se stali terčem podobných nástrojů. Tyto kauzy nezřídka vyústily v hlučné rozvázání smluv s firmami dodávajícími takovéto monitorovací systémy.
Průmysl špionských aplikací sílí
Trh s komerčním špionským softwarem se neomezuje na jednotlivé subjekty. Fungují celé ekosystémy firem, které:
- vytvářejí software pro vzdálené sledování zařízení,
- prodávají přístup k hotovým nástrojům na klíč,
- nabízejí „analytické služby" založené na zachycených datech,
- provozují kampaně cílené na konkrétní osoby nebo skupiny.
Takovéto podniky se často prezentují jako partneři v oblasti bezpečnosti nebo dodavatelé „legálního dohledu", jejich nástroje však mohou snadno skončit v rukou subjektů, jež je využívají k neoprávněnému sledování běžných uživatelů sítě.
Proč uživatelé na falešné aplikace naletí
Útočníci nepotřebují hluboké znalosti o systémových zranitelnostech. Soustředí se na psychologii. V případě falešného WhatsAppu zpravidla zapůsobí hned několik prvků najednou: spěch, důvěra v odesílatele odkazu, známé logo a název, a k tomu příslib dalších funkcí nebo „vylepšené" verze komunikátoru.
V praxi lidé často:
- kliknou na odkaz zaslaný e-mailem, SMS zprávou nebo přes komunikátor,
- odsouhlasí varování o instalaci z neznámého zdroje, protože „přece to mají všichni",
- udělí aplikaci široká oprávnění, protože jinak „nebude fungovat".
Tento vzorec se netýká pouze WhatsAppu. Podobné kampaně zneužívají falešné verze mobilního bankovnictví, komunikátorů, vládních aplikací nebo nástrojů pro vzdálenou práci. Iluze „oficiálnosti" je velmi silná, zejména když odkaz rozesílá někdo známý, sám předtím nakažený.
Kyberzločinci stále méně dobývají pevné dveře — raději požádají, aby jim někdo sám dokořán otevřel a pozval je dál.
Jak falešný WhatsApp rozpoznat a vyhnout se mu
WhatsApp při této příležitosti připomíná základní pravidlo: aplikace stahujeme výhradně z oficiálních obchodů — Google Play, App Store nebo z oficiálních stránek výrobce v případě počítačových aplikací. Jakákoliv odchylka od tohoto pravidla zvyšuje riziko instalace škodlivého softwaru.
5 praktických kroků pro běžného uživatele
| Opatření | Proč to dělat |
|---|---|
| Instalovat aplikace pouze z oficiálních obchodů | Omezuje riziko narazit na upravené, infikované verze programů. |
| Vypnout instalaci z „neznámých zdrojů" v nastavení | Přidává další bariéru — každý takový krok musí uživatel vědomě potvrdit. |
| Kontrolovat oprávnění aplikací po instalaci | Umožní odhalit, když komunikátor vyžaduje přístup k věcem, které ke své funkci nepotřebuje. |
| Pravidelně aktualizovat systém a aplikace | Snižuje riziko zneužití známých zranitelností. |
| Zachovávat zdravý odstup od odkazů z neznámých zdrojů | Chrání před kliknutím na chytře připravenou zprávu nebo falešnou stránku ke stažení. |
Pokud někdo pojme podezření, že si mohl nainstalovat falešnou verzi WhatsAppu, měl by co nejdříve:
- nestandardní aplikaci odinstalovat,
- zařízení prohledat spolehlivým antivirovým nástrojem,
- změnit hesla k nejdůležitějším službám (e-mail, bankovnictví, sociální sítě),
- zkontrolovat, zda se v systému neobjevily nové, neznámé profily nebo administrátorské aplikace.
Co špionská aplikace skutečně vidí
Přesné možnosti závisejí na konkrétním nástroji, udělených oprávněních a modelu telefonu. V mnoha případech takový program dokáže sbírat metadata spojená s komunikací: kdy, s kým a jak často uživatel komunikuje — a někdy i zachytit obsah mimo chráněnou vrstvu šifrování.
Pokud spyware získá přístup k paměti zařízení nebo k oznámením, může nahlédnout do fragmentů konverzací, snímků obrazovky, seznamů kontaktů i přihlašovacích tokenů jiných aplikací. To otevírá cestu k dalším zneužitím — například k převzetí účtů na sociálních sítích nebo k přihlášení do finančních služeb.
Zvláště nebezpečné jsou situace, kdy někdo infikovanou aplikaci dál přeposílá, v přesvědčení, že pomáhá přátelům nainstalovat „lepší verzi", místo aby je před hrozbou varoval.
Proč samotná technická péče nestačí
Případ falešného WhatsAppu ukazuje zásadní rozdíl mezi technickým zabezpečením a lidskými návyky. Ani sebelépe zabezpečená služba neubrání situaci, kdy někdo vědomě vpustí do svého telefonu cizí software, protože věří, že jde o tutéž aplikaci — jen z jiného zdroje.
V každodenním používání telefonu se vyplatí ke smartphonu přistupovat spíše jako k peněžence než jako k hračce. Kdyby vám někdo na ulici podal novou „oficiální" peněženku a požádal vás, abyste do ní přeložili karty, pravděpodobně byste odmítli. S aplikacemi je vhodné jednat podobně: pokud odkaz vedoucí na údajný WhatsApp nepochází z Google Play nebo App Store, ignorujte ho — i kdyby vypadal sebevíc lákavě.
Stále více útoků bude využívat známé značky a důvěryhodné služby, protože právě ty přitahují největší pozornost. Povědomí o těchto schématech usnadňuje rozpoznání pokusu o manipulaci. A několik jednoduchých, důsledně dodržovaných návyků při instalaci aplikací dokáže ochránit i před důsledky velmi sofistikovaných špionských nástrojů.
