Stovky lidí si stáhly aplikaci vydávající se za WhatsApp a nevědomky tak do svých telefonů nainstalovali špionážní software. Kampaň nejvíce zasáhla Itálii, ale princip útoku je natolik univerzální, že může postihnout kohokoli.
Problém není v samotném WhatsAppu ani v jeho zabezpečení. Útočníci vsadili na psychologii a lidskou důvěru. Za celou akcí stojí firma specializující se na digitální dohled, jejímž cílem je tichá surveillace chytrých telefonů.
Bezpečnostní experti z WhatsAppu identifikovali přibližně 200 účtů, na kterých byla použita neoficiální, upravená verze messengeru. Drtivá většina případů se týká uživatelů z Itálie. Scénář je přitom poměrně jednoduchý: někdo dostane odkaz na aplikaci připomínající WhatsApp, uvidí známé logo a název, a bez většího podezření si stáhne instalační soubor.
Po instalaci taková aplikace vypadá zvenčí téměř stejně jako běžný messenger. Rozdíl se skrývá v tom, co není vidět: na pozadí běží špionážní modul, který získává přístup k vybraným datům v telefonu. Mohou to být informace o hovorech, částečná data z messengeru, kontakty, údaje o zařízení nebo síťová aktivita. Mechanismus útoku stojí na tom, aby uživatel sám, s plným přesvědčením, nainstaloval škodlivou aplikaci a udělil jí všechna potřebná oprávnění.
Co udělal WhatsApp a proč nejde o chybu v messengeru
Když bezpečnostní tým WhatsAppu odhalil kampaň využívající falešnou aplikaci, účty, které s ní mohly přijít do kontaktu, byly odpojeny od služby. Firma varovala majitele těchto čísel a vynutila si opětovné přihlášení do oficiálního klienta. Představitelé messengeru zdůrazňují, že end-to-end šifrování funguje správně a nedošlo k nabourání originální aplikace.
Nebyly zjištěny ani žádné bezpečnostní mezery v infrastruktuře Meta. Problém spočívá výhradně v tom, že část lidí vědomě – i když bez znalosti rizika – nainstalovala externí program vydávající se za známou službu. Jinými slovy, útok nespočíval v prolomení zabezpečení WhatsAppu. Místo toho využil skutečnosti, že na Androidu lze ručně instalovat aplikace mimo Google Play, stačí akceptovat dodatečná povolení v nastavení.
Tento typ útoku se nevyhýbá technickým bariérám, ale obchází je tím, že žádá uživatele o dobrovolnou spolupráci. Výzkumníci kybernetické bezpečnosti upozorňují, že podobné metody jsou stále častější právě proto, že nevyžadují znalost sofistikovaných zranitelností systému. Postačí dobrá znalost lidského chování a důvěryhodný vzhled.
Kdo stojí za kampaní s falešnou aplikací
WhatsApp ukazuje na italskou firmu ze sektoru digitálního dohledu, působící pod názvem SIO prostřednictvím dceřiné společnosti Asigint. Tento podnik se má specializovat na technologie sledování a sběru dat, které často prodává veřejným institucím, zpravodajským službám nebo soukromým zadavatelům. Meta, pod kterou WhatsApp patří, ohlásila právní kroky s cílem zastavit tuto činnost.
Není to poprvé, kdy se messenger střetává s dodavateli špionážního softwaru. V minulých letech již WhatsApp varoval novináře, aktivisty a zástupce občanských organizací, kteří byli cílem podobných nástrojů. Tyto záležitosti nezřídka vyústily ve veřejné ukončení smluv s firmami dodávajícími takové monitorovací systémy.
Trh komerčního špionážního softwaru představuje rostoucí bezpečnostní hrozbu. Specialisté na kybernetickou bezpečnost sledují vývoj celého ekosystému firem, které operují v šedé zóně mezi legitimním dohledem a nelegálním sledováním. Některé z těchto společností mají vazby na vládní agentury, jiné prodávají své služby prakticky komukoli, kdo je ochoten zaplatit.
Průmysl špionážních aplikací sílí
Trh komerčního špionážního softwaru se neomezuje na jednotlivé subjekty. Fungují celé ekosystémy firem, které vytvářejí software pro vzdálený dohled nad zařízeními, prodávají přístup k hotovým nástrojům na klíč, nabízejí analytické služby založené na odposlouchaných datech a obsługují kampaně zaměřené na konkrétní osoby nebo skupiny.
Také společnosti se často prezentují jako partneři v oblasti bezpečnosti nebo poskytovatelé legálního dohledu, ale jejich nástroje mohou skončit i v rukou subjektů, které je využívají k neoprávněnému sledování běžných uživatelů internetu. Výzkumníci z univerzit v Torontu a Berkeleyi dokumentovali desítky případů zneužití takového softwaru proti novinářům a obhájcům lidských práv.
- Software pro vzdálenou invigilaci zařízení
- Prodej přístupu k hotovým nástrojům na klíč
- Analytické služby založené na odposlouchaných datech
- Kampaně zaměřené na konkrétní osoby nebo skupiny
- Nabídka legálního dohledu pro vládní agentury
- Distribuce prostřednictvím falešných aplikací
- Obcházení ochrany soukromí pomocí sociálního inženýrství
Specialisté z organizací jako Citizen Lab nebo Amnesty International pravidelně odhalují nové případy komerčního špionážního softwaru. Jejich zprávy ukazují, že tento průmysl generuje roční obraty v řádu stovek milionů dolarů a zaměstnává tisíce programátorů a analytiků po celém světě.
Proč uživatelé naletí falešným aplikacím
Útočníci nepotřebují velké znalosti o bezpečnostních mezerách v systémech. Soustředí se na psychologii. V případě falešného WhatsAppu obvykle funguje několik prvků najednou: spěch, důvěra k odesílateli odkazu, známé logo a název, a k tomu slib dodatečných funkcí nebo vylepšené verze messengeru.
V praxi lidé často klikají na odkaz zaslaný emailem, SMS zprávou nebo přes messenger, akceptují varování o instalaci z neznámého zdroje, protože to přece všichni mají, a udělují aplikaci široká oprávnění, protože jinak nebude fungovat. Tento schéma se netýká pouze WhatsAppu. Podobné kampaně využívají falešné verze mobilního bankovnictví, messengerů, vládních aplikací nebo nástrojů pro práci na dálku.
Iluze oficiálnosti je velmi silná, zvláště když odkaz rozesílá někdo známý, sám dříve infikovaný. Kybernetičtí zločinci stále méně vylamují těžké dveře, častěji žádají, aby jim někdo sám široce otevřel a pozval je dovnitř. Odborníci na kybernetickou bezpečnost z firem jako Kaspersky nebo ESET upozorňují, že právě sociální inženýrství představuje dnes největší hrozbu pro běžné uživatele.
Jak rozpoznat a vyhnout se falešnému WhatsAppu
WhatsApp při této příležitosti připomíná základní zásadu: aplikace stahujeme výhradně z oficiálních obchodů – Google Play, App Store nebo z oficiální stránky výrobce, pokud mluvíme o aplikacích do počítače. Každé odchýlení od tohoto pravidla zvyšuje riziko instalace škodlivého softwaru.
Pokud někdo podezírá, že mohl nainstalovat falešnou verzi WhatsAppu, měl by co nejrychleji odinstalovat nestandardní aplikaci, naskenovat zařízení prověřeným antivirovým nástrojem, změnit hesla k nejdůležitějším službám jako email, bankovnictví nebo sociální sítě, a zkontrolovat, zda se v systému neobjevily nové neznámé profily nebo administrátorské aplikace.
Specialisté z Google a Apple pravidelně aktualizují ochranné mechanismy svých obchodů s aplikacemi. Přesto nelze nikdy vyloučit, že nějaká škodlivá aplikace proklouzne kontrolou. Proto je důležité sledovat recenze, datum vydání a počet stažení. Nová aplikace s tisíci instalacemi a pouze několika recenzemi by měla vzbudit podezření.
Co skutečně může vidět špionážní aplikace
Přesné možnosti závisejí na konkrétním nástroji, udělených oprávněních a modelu telefonu. V mnoha případech takový program může sbírat metadata spojená s komunikací: kdy, s kým a jak často uživatel komunikuje, a někdy také zachycovat obsahy mimo chráněnou vrstvu šifrování. Pokud spyware získá přístup k paměti zařízení nebo notifikacím, může nahlédnout do fragmentů konverzací, snímků obrazovky, seznamů kontaktů a také přihlašovacích tokenů k dalším aplikacím.
To otevírá cestu k dalším zneužitím, například k převzetí účtů na sociálních sítích nebo přihlašování do finančních služeb. Proto jsou tak nebezpečné situace, kdy někdo předává dál infikovanou aplikaci v přesvědčení, že pomáhá známým nainstalovat lepší verzi, místo aby je před hrozbou varoval.
Výzkumníci z Massachusetts Institute of Technology prokázali, že moderní špionážní software dokáže pracovat zcela skrytě bez jakýchkoli viditelných příznaků. Uživatel tak může měsíce používat infikované zařízení, aniž by tušil, že je sledován. Telefon nevykazuje žádné výrazné zpomalení, baterie se nevybíjí rychleji a v seznamu aplikací se neobjeví nic podezřelého.
Proč sama technologie nestačí
Případ falešného WhatsAppu ukazuje rozdíl mezi technickým zabezpečením a lidskými návyky. Ani nejlépe zabezpečená služba neochrání před situací, kdy někdo vědomě vpustí do svého telefonu cizí software, protože věří, že jde o tutéž aplikaci, jen z jiného zdroje. V každodenním používání telefonu stojí za to zacházet se smartphonem spíše jako s peněženkou než jako s hračkou.
Kdyby ti někdo na ulici nabídl novou oficiální peněženku a požádal o přeložení karet, pravděpodobně bys odmítl. S aplikacemi je dobré jednat podobně: pokud odkaz vedoucí k údajnému WhatsAppu nepochází z Google Play nebo App Store, ignoruj ho, i kdyby vypadal sebelákavěji. Stále více útoků bude využívat známé značky a důvěryhodné služby, protože právě ty nejvíce přitahují pozornost.
Povědomí o těchto schématech usnadňuje rozpoznání pokusu o manipulaci. A několik jednoduchých, důsledných návyků při instalování aplikací dokáže ochránit před důsledky i velmi pokročilých špionážních nástrojů. Opravdu stojí za to riskovat bezpečnost celého telefonu kvůli kliknutí na neověřený odkaz?
