Stovky lidí si stáhly aplikaci vydávající se za WhatsApp a nevědomky si do telefonu nainstalovaly špionský software
Problém nejtvrdší dopadl na Itálii, ale samotný způsob útoku je natolik univerzální, že může postihnout kohokoliv, kdo instaluje programy mimo oficiální obchody. Za vším stojí firma působící v odvětví digitálního dohledu, jejímž cílem je tiché sledování chytrých telefonů.
Falešný WhatsApp: jak útok probíhal
WhatsApp oznámil, že odhalil přibližně 200 účtů, na nichž byla použita neoficiální, upravená verze messengeru. Naprostá většina případů se týká uživatelů z Itálie. Scénář je poměrně prostý: někdo obdrží odkaz na aplikaci připomínající WhatsApp, spatří známé logo i název a bez většího podezření si stáhne instalační soubor.
Po instalaci takový „klient" zvenčí vypadá téměř totožně jako běžný messenger. Rozdíl se skrývá v tom, co není vidět: na pozadí běží špionský modul, který získává přístup k vybraným datům telefonu. Může jít o informace o hovorech, částečná data z messengeru, kontakty, údaje o zařízení nebo aktivitě v síti.
Mechanismus útoku stojí na tom, aby si uživatel škodlivou aplikaci sám, s plným přesvědčením, nainstaloval a udělil jí veškerá potřebná oprávnění.
Co WhatsApp podnikl a proč nejde o „díru" v messengeru
Jakmile bezpečnostní tým WhatsAppu odhalil kampaň s falešnou aplikací, účty, které s ní mohly přijít do styku, byly od služby odpojeny. Firma varovala majitele dotčených čísel a přinutila je znovu se přihlásit prostřednictvím oficiálního klienta.
Zástupci messengeru zdůrazňují, že end-to-end šifrování funguje správně a k průniku do původní aplikace nedošlo. Nebyla zjištěna ani žádná zranitelnost v infrastruktuře Meta. Problémem je výhradně to, že část lidí vědomě — byť bez znalosti rizika — nainstalovala externí program vydávající se za známou službu.
Jinak řečeno, útok nespočíval v „prolomení" zabezpečení WhatsAppu. Místo toho využil skutečnosti, že na Androidu (a v menší míře i na jiných platformách) lze ručně instalovat aplikace mimo Google Play tím, že uživatel v nastavení potvrdí dodatečná oprávnění.
Kdo stojí za kampaní s falešnou aplikací
WhatsApp poukazuje na italskou firmu z odvětví digitálního dohledu působící pod názvem SIO prostřednictvím dceřiné společnosti Asigint. Tento podnik se má specializovat na technologie sledování a sběru dat, které jsou často prodávány veřejným institucím, bezpečnostním složkám nebo soukromým zadavatelům.
Meta, jíž WhatsApp patří, avizuje právní kroky s cílem tuto činnost zastavit. Není to poprvé, kdy se messenger střetl s dodavateli špionského softwaru. V předchozích letech byli varováni novináři, aktivisté i zástupci občanských organizací, kteří se stali terčem podobných nástrojů. Tyto kauzy nezřídka vedly k hlučným ukončením smluv s firmami dodávajícími takové monitorovací systémy.
Průmysl špionských aplikací sílí
Trh komerčního špionského softwaru se neomezuje na ojedinělé subjekty. Fungují celé ekosystémy firem, které:
- vyvíjejí software pro vzdálené sledování zařízení,
- prodávají přístup k hotovým nástrojům na klíč,
- nabízejí „analytické služby" postavené na zachycených datech,
- provozují kampaně cílené na konkrétní osoby nebo skupiny.
Takové podniky se často prezentují jako partneři v oblasti bezpečnosti nebo dodavatelé „legálního dohledu", avšak jejich nástroje mohou skončit i v rukou subjektů, jež je využívají k neoprávněnému sledování běžných uživatelů internetu.
Proč uživatelé na falešné aplikace naletí
Útočníci nepotřebují hluboké znalosti systémových zranitelností. Soustředí se na psychologii. V případě falešného WhatsAppu obvykle působí několik prvků najednou: spěch, důvěra k odesilateli odkazu, známé logo a název a k tomu příslib dalších funkcí nebo „vylepšené" verze messengeru.
V praxi lidé často:
- klikají na odkaz zaslaný e-mailem, SMS zprávou nebo přes messenger,
- odsouhlasí varování o instalaci z neznámého zdroje, protože „to přece mají všichni",
- udělí aplikaci rozsáhlá oprávnění, protože jinak „nebude fungovat".
Tento vzorec se netýká jen WhatsAppu. Podobné kampaně využívají falešné verze mobilního bankovnictví, messengerů, vládních aplikací nebo nástrojů pro práci na dálku. Iluze „oficiálnosti" je velmi silná, zvláště když odkaz rozesílá někdo známý, kdo sám byl dříve infikován.
Kyberzločinci čím dál méně vyrážejí těžké dveře — raději požádají, aby jim je někdo sám dokořán otevřel a pozval je dovnitř.
Jak falešný WhatsApp rozpoznat a jak se mu vyhnout
WhatsApp při této příležitosti připomíná základní pravidlo: aplikace stahujeme výhradně z oficiálních obchodů — Google Play, App Store nebo z oficiálních stránek výrobce v případě počítačových aplikací. Jakákoli odchylka od tohoto pravidla zvyšuje riziko instalace škodlivého softwaru.
5 praktických kroků pro běžného uživatele
| Opatření | Proč to dělat |
|---|---|
| Instalovat aplikace pouze z oficiálních obchodů | Snižuje riziko narazit na upravené, infikované verze programů. |
| Vypnout instalaci z „neznámých zdrojů" v nastavení | Přidává další bariéru — každý takový krok je třeba vědomě potvrdit. |
| Kontrolovat oprávnění aplikací po instalaci | Umožňuje si všimnout, když messenger požaduje přístup k věcem, které nepotřebuje. |
| Pravidelně aktualizovat systém i aplikace | Snižuje riziko zneužití známých zranitelností. |
| Zdravá nedůvěra k odkazům z neznámých zdrojů | Chrání před kliknutím na chytře připravenou zprávu nebo falešnou stránku ke stažení. |
Pokud někdo podezřívá, že si mohl nainstalovat falešnou verzi WhatsAppu, měl by co nejdříve:
- nestandardní aplikaci odinstalovat,
- zařízení prověřit důvěryhodným antivirovým nástrojem,
- změnit hesla k nejdůležitějším službám (e-mail, bankovnictví, sociální sítě),
- zkontrolovat, zda se v systému neobjevily nové, neznámé profily nebo administrátorské aplikace.
Co špionská aplikace ve skutečnosti vidí
Přesné možnosti závisí na konkrétním nástroji, udělených oprávněních a modelu telefonu. V mnoha případech může takový program shromažďovat metadata spojená s komunikací: kdy, s kým a jak často uživatel komunikuje, a někdy také zachytit obsah mimo chráněnou vrstvu šifrování.
Pokud spyware získá přístup k paměti zařízení nebo k oznámením, může nahlédnout do fragmentů konverzací, snímků obrazovky, seznamů kontaktů i přihlašovacích tokenů jiných aplikací. To otevírá cestu k dalším zneužitím — například k převzetí účtů na sociálních sítích nebo k přihlášení do finančních služeb.
Proto jsou tak nebezpečné situace, kdy někdo infikovanou aplikaci dál šíří v přesvědčení, že pomáhá přátelům „nainstalovat lepší verzi", místo aby je varoval před hrozbou.
Proč samotná technická opatření nestačí
Případ falešného WhatsAppu ukazuje rozdíl mezi technickým zabezpečením a lidskými návyky. Ani sebelépe zabezpečená služba neubrání před situací, kdy někdo vědomě vpustí do svého telefonu cizí software, protože věří, že jde o tutéž aplikaci — jen z jiného zdroje.
V každodenním používání telefonu se vyplatí ke smartphonu přistupovat spíše jako k peněžence než jako k hračce. Kdyby vám někdo na ulici podal novou „oficiální" peněženku a požádal vás, abyste do ní přesunuli karty, nejspíš byste odmítli. S aplikacemi je vhodné jednat podobně: pokud odkaz na údajný WhatsApp nepochází z Google Play nebo App Store, ignorujte ho — i kdyby vypadal sebevíce lákavě.
Čím dál více útoků bude využívat známé značky a důvěryhodné služby, protože ty přitahují největší pozornost. Znalost těchto schémat usnadňuje rozpoznání pokusu o manipulaci. A několik jednoduchých, důsledně dodržovaných návyků při instalaci aplikací dokáže ochránit před následky i těch nejpokročilejších špionských nástrojů.
