Virusul „spion” care s-a infiltrat în zeci de conturi WhatsApp. Cum acționează hackerii care vor să-ți fure datele

Un pachet software aparent legitim pentru WhatsApp Web a fost descărcat de zeci de mii de utilizatori și permite accesul complet la mesaje, fișiere, contacte și parole, fără ca victima să observe ceva neobișnuit. Specialiștii în securitate avertizează că este vorba despre un cod malițios activ de luni de zile, notează El Economista, potrivit Mediafax. 

Pachetul periculos a fost descoperit în Node Package Manager, cunoscut ca npm, o platformă folosită de dezvoltatorii JavaScript pentru a distribui biblioteci software. Acesta se prezintă drept o bibliotecă legitimă pentru WhatsApp Web API, dar în realitate conține funcții ascunse de spionaj.

METEO România, sub coduri portocalii și galbene de vijelii și grindină. Vremea severă a făcut deja prăpăd în mai multe județe din țară

20:47

Patrick André de Hillerin: Sunt dezinterese mari la mijloc!

20:45

Cum funcționează pachetul malițios al Whatsapp

Codul este o bifurcație a proiectului WhiskeySockets Baileys, utilizat în mod normal pentru crearea de boți și automatizări în WhatsApp Web. Publicat sub numele „lotusbail”, pachetul a fost identificat de compania de securitate Koi Security și oferă mult mai mult decât funcțiile declarate.

Pe lângă automatizări, acesta permite furtul tokenurilor de autentificare și al cheilor de sesiune WhatsApp. De asemenea, poate intercepta mesajele trimise și primite, oferind acces complet la conținutul conversațiilor și la fișierele multimedia, inclusiv fotografii, mesaje audio și videoclipuri.

Mesajele sunt interceptate fără ca utilizatorul să știe

Cercetătorii explică faptul că pachetul afectează clientul WebSocket legitim care comunică cu WhatsApp. Practic, toate mesajele sunt capturate înainte de a fi procesate de aplicație.

„Când te autentifici, containerul îți capturează datele de autentificare. Când sosesc mesajele, le interceptează. Când trimiți mesaje, le înregistrează. Funcționalitatea legitimă continuă să funcționeze normal; malware-ul doar adaugă un al doilea destinatar pentru tot”, explică specialiștii.

Datele furate sunt criptate printr-o implementare RSA personalizată, înainte de a fi trimise către atacatori, tocmai pentru a nu fi detectate de sistemele de monitorizare a rețelei.

Cum poate fi preluat controlul asupra contului

Mai grav, atacatorii pot ajunge să controleze complet contul WhatsApp al victimei. Pachetul conține o funcție care leagă un dispozitiv extern de cont, folosind mecanismul oficial de asociere a dispozitivelor.

Este generată o secvență aleatorie de 8 caractere, introdusă pe dispozitivul atacatorului, iar malware-ul deturnează procesul de asociere printr-un cod preconfigurat. Astfel, accesul la conversații devine invizibil pentru utilizator.

Ce trebuie să faci pentru a te proteja

Specialiștii recomandă verificarea periodică a listei de dispozitive asociate contului WhatsApp, din secțiunea „Setări”. Dacă apare un dispozitiv necunoscut, acesta trebuie dezactivat imediat.

Pachetul malițios este activ de aproximativ șase luni și a fost descărcat deja de peste 56.000 de ori din npm. Dezinstalarea lui elimină codul periculos, însă nu rupe automat legătura cu dispozitivul atacatorului. Aceasta trebuie eliminată manual, altfel accesul neautorizat poate continua.