Stovky lidí si stáhly aplikaci vydávající se za WhatsApp a nevědomky si nainstalovali špionážní software. Útok zasáhl především Itálii, ale podobný scénář může potkat kohokoli, kdo instaluje programy mimo oficiální obchody.
Problém se nejvíce dotknul Itálie, ale mechanismus útoku je univerzální a může postihnout každého, kdo instaluje aplikace z neoficiálních zdrojů. Za celou kampaní stojí firma ze sektoru digitálního dohledu a jejím cílem je tichá sledování chytrých telefonů.
Riziko instalace aplikací mimo Google Play nebo App Store není teoretické. Experti na kybernetickou bezpečnost opakovaně varují, že právě důvěra v známé logo a název aplikace patří mezi nejčastější příčiny úspěšných útoků. V případě falešného WhatsApp útočníci vsadili na psychologii uživatelů a jejich rutinní chování při instalaci nových programů.
Společnost Meta, do které WhatsApp patří, potvrdila, že identifikovala kampaň využívající pozměněnou verzi komunikátoru. Postižení uživatelé si aplikaci nainstalovali sami, přičemž věřili, že jde o oficiální nebo vylepšenou verzi služby. Šifrovací mechanismy WhatsApp zůstaly nedotčeny, problém spočíval čisto v lidském faktoru.
Jak vypadal útok falešným WhatsApp
WhatsApp oznámil, že identifikoval přibližně 200 účtů, na kterých byla použita neoficiální, upravená verze komunikátoru. Rozhodující většina případů se týká uživatelů z Itálie. Scénář je poměrně jednoduchý: někdo dostane odkaz na aplikaci připomínající WhatsApp, uvidí známé logo a název, takže bez většího podezření stáhne instalační soubor.
Po instalaci takový klient vypadá zvenčí téměř stejně jako běžný komunikátor. Rozdíl se skrývá v tom, co není vidět: na pozadí běží špionážní modul, který získává přístup k vybraným datům telefonu. Mohou to být informace o hovorech, částečná data z komunikátoru, kontakty, údaje o zařízení nebo aktivitě v síti.
Mechanismus útoku stojí na tom, aby uživatel sám, s plným přesvědčením, nainstaloval škodlivou aplikaci a udělil jí všechna potřebná oprávnění. Útočníci nepotřebují násilně prolomit zabezpečení systému Android, když mohou požádat o klíče od vstupních dveří.
Při instalaci takové aplikace systém Android obvykle zobrazí varování o instalaci z neznámého zdroje. Mnoho lidí ale toto upozornění přehlédne nebo si myslí, že jde o běžnou technickou formalitu, která se týká všech aplikací mimo Google Play.
Co udělal WhatsApp a proč nejde o díru v komunikátoru
Když bezpečnostní oddělení WhatsApp odhalilo kampaň využívající falešnou aplikaci, účty, které s ní mohly přijít do kontaktu, byly odpojeny od služby. Firma upozornila majitele těchto čísel a vynutila si opětovné přihlášení k oficiálnímu klientovi.
Zástupci komunikátoru zdůrazňují, že end-to-end šifrování funguje správně a nedošlo k nabourání původní aplikace. Nezjistila se ani žádná bezpečnostní díra v infrastruktuře Meta. Problém spočívá výhradně v tom, že část lidí vědomě – byť bez znalosti rizika – nainstalovala externí program vydávající se za známou službu.
Jinými slovy, útok nespočíval v prolomení zabezpečení WhatsApp. Místo toho využil skutečnosti, že na Androidu (a v menší míře na jiných platformách) lze ručně instalovat aplikace mimo Google Play po akceptování dodatečných souhlasů v nastavení.
Oficiální aplikace WhatsApp je k dispozici zdarma v Google Play i App Store. Neexistuje žádný důvod, proč by uživatel potřeboval hledat alternativní zdroje ke stažení. Všechny odkazy vedoucí jinam než do oficiálních obchodů jsou podezřelé.
Kdo stojí za kampaní s falešnou aplikací
WhatsApp ukazuje na italskou firmu ze sektoru digitálního dohledu, působící pod názvem SIO prostřednictvím dceřiné společnosti Asigint. Tento podnik se má specializovat na technologie sledování a sbírání dat, které často prodává veřejným institucím, bezpečnostním složkám nebo soukromým zadavatelům.
Meta, do které WhatsApp patří, ohlašuje právní kroky s cílem zastavit tuto činnost. Není to poprvé, kdy komunikátor bojuje s dodavateli špionážního software. V předchozích letech už varoval novináře, aktivisty a zástupce neziskových organizací, kteří byli cílem podobných nástrojů. Tyto případy nezřídka vedly k hlasitým zrušením smluv s firmami dodávajícími takové monitorovací systémy.
Průmysl komerčního špionážního software se neomezuje na jednotlivé subjekty. Fungují celé ekosystémy firem, které nabízejí komplexní služby digitálního sledování. Mnohé z nich se prezentují jako partneři pro bezpečnost nebo poskytovatelé legálního dohledu.
Experti upozorňují, že tento sektor rychle roste a jeho nástroje se stávají dostupnějšími. Zatímco dříve podobné technologie využívaly především zpravodajské služby, dnes si je mohou dovolit i menší subjekty nebo soukromé osoby s dostatečnými finančními prostředky.
Proč se uživatelé nechají chytit na falešné aplikace
Útočníci nepotřebují velké znalosti o bezpečnostních dírách v systémech. Soustředí se na psychologii. V případě falešného WhatsApp obvykle funguje několik elementů najednou: spěch, důvěra k odesílateli odkazu, známé logo a název, a k tomu slib dodatečných funkcí nebo vylepšené verze komunikátoru.
V praxi lidé často:
- kliknou na odkaz zaslaný mailem, SMS zprávou nebo přes komunikátor
- akceptují varování o instalaci z neznámého zdroje, protože to přece všichni mají
- udělí aplikaci široká oprávnění, protože jinak nebude fungovat
- důvěřují známému logu a názvu bez ověření zdroje
- nechají se zlákat slibem exkluzivních funkcí nebo rychlejší verze
- instalují aplikaci na doporučení přítele, který už byl sám infikován
Tento scénář se netýká jen WhatsApp. Podobné kampaně využívají falešné verze mobilního bankovnictví, komunikátorů, vládních aplikací nebo nástrojů pro práci na dálku. Iluze oficiálnosti je velmi silná, zvláště když odkaz rozesílá někdo známý, sám dříve infikovaný.
Kyberzločinci stále méně často nabourávají silné dveře, častěji žádají, aby jim je někdo sám doširoka otevřel a pozval je dovnitř. Metody sociálního inženýrství jsou dnes efektivnější než technické útoky na zabezpečení systému.
Jak rozpoznat a vyhnout se falešnému WhatsApp
WhatsApp při této příležitosti připomíná základní zásadu: aplikace stahujeme výhradně z oficiálních obchodů – Google Play, App Store nebo z oficiální stránky výrobce, pokud mluvíme o aplikacích do počítače. Každé odchýlení od tohoto pravidla zvyšuje riziko instalace škodlivého software.
Pokud někdo podezírá, že mohl nainstalovat falešnou verzi WhatsApp, měl by co nejrychleji odinstalovat nestandardní aplikaci. Následně je vhodné prohledat zařízení ověřeným antivirovým nástrojem a změnit hesla k nejdůležitějším službám jako email, bankovnictví nebo sociální sítě.
Dále je potřeba zkontrolovat, zda se v systému neobjevily nové, neznámé profily nebo administrátorské aplikace. Některé špionážní programy se totiž snaží získat administrátorská práva, která jim znesnadňují odinstalaci.
Přesné možnosti závisí na konkrétním nástroji, udělených oprávněních a modelu telefonu. V mnoha případech takový program může sbírat metadata spojená s komunikací: kdy, s kým a jak často uživatel komunikuje, někdy také zachycovat obsahy mimo chráněnou vrstvu šifrování.
Pokud spyware získá přístup k paměti zařízení nebo oznámením, může nahlédnout do fragmentů konverzací, snímků obrazovky, seznamů kontaktů a také přihlašovacích tokenů k dalším aplikacím. To otevírá cestu k dalším zneužitím, například převzetí účtů na sociálních sítích nebo přihlašování k finančním službám.
Proč samotná péče o technologie nestačí
Případ falešného WhatsApp ukazuje rozdíl mezi technickým zabezpečením a lidskými návyky. Ani nejlépe zabezpečená služba neochrání před situací, kdy někdo vědomě vpustí do svého telefonu cizí software, protože věří, že jde o tutéž aplikaci, jen z jiného zdroje.
V každodenním používání telefonu stojí za to zacházet se smartphonem spíše jako s peněženkou než jako s hračkou. Kdyby ti někdo na ulici předal novou oficiální peněženku a poprosil o přeložení karet, pravděpodobně bys odmítl. S aplikacemi vyplatí jednat podobně: pokud odkaz vedoucí k údajnému WhatsApp nepochází z Google Play nebo App Store, ignoruj ho, i kdyby vypadal sebelákavěji.
Stále více útoků bude využívat známé značky a důvěryhodné služby, protože ty nejvíce přitahují pozornost. Povědomí o těchto scénářích umožňuje snadněji rozpoznat pokus o manipulaci. A několik jednoduchých, důsledných návyků při instalování aplikací dokáže uchránit před následky i velmi pokročilých špionážních nástrojů.
