Virusul „invizibil” care atacă instantaneu conturile de WhatsApp. Profilul îți poate fi accesat fără să ai habar

Un virus deosebit de malițios face ravagii în telefoanele utilizatorilor de WhatsApp. Pachetul periculos a fost semnalat în Node Package Manager, cunoscut ca npm, o platformă folosită de dezvoltatorii JavaScript pentru a distribui biblioteci software. Pachetul malițios este activ de aproximativ 6 luni și a fost descărcat deja de peste 56.000 de ori din npm.

Acesta se prezintă drept o bibliotecă legitimă pentru WhatsApp Web API, dar în realitate conține funcții ascunse de spionaj, notează El Economista, citat de Mediafax.

Cum funcționează pachetul malițios „lotusbail”

De notat că acest cod este o bifurcație a proiectului WhiskeySockets Baileys, utilizat în mod normal pentru crearea de boți și automatizări în WhatsAppWeb. Publicat sub numele „lotusbail”, pachetul a fost identificat de compania de securitate Koi Security. În fapt, oferă mult mai mult decât funcțiile declarate.

Pe lângă automatizări, acesta permite furtul tokenurilor de autentificare și al cheilor de sesiune WhatsApp. În plus, poate intercepta mesajele trimise și primite, oferind un acces complet la conținutul conversațiilor și la fișierele multimedia (inclusiv fotografii, mesaje audio și videoclipuri).

Cercetătorii avertizează că pachetul afectează clientul WebSocket legitim care comunică cu WhatsApp. În consecință, toate mesajele sunt capturate înainte chiar de a fi procesate de aplicație.

„Când te autentifici, containerul îți capturează datele de autentificare. Când sosesc mesajele, le interceptează. Când trimiți mesaje, le înregistrează. Funcționalitatea legitimă continuă să funcționeze normal; malware-ul doar adaugă un al doilea destinatar pentru tot”, explică specialiștii.

Contul tău poate fi controlat total

Datele furate sunt criptate printr-o implementare RSA personalizată, înainte de a fi trimise către atacatori, cu scopul evident de a nu fi detectate de sistemele de monitorizare a rețelei.

Însă, mai grav, atacatorii pot ajunge în stadiul în care să controleze complet contul WhatsApp al victimei. Pachetul conține o funcție care leagă un dispozitiv extern de cont, folosind mecanismul oficial de asociere a dispozitivelor respective.

Concret, este generată o secvență aleatorie de 8 caractere, introdusă pe dispozitivul atacatorului, iar malware-ul deturnează procesul de asociere printr-un cod preconfigurat. Astfel, accesul la conversații devine invizibil pentru utilizator.

Recomandărilor experților pentru a te proteja

Experții recomandă verificarea periodică a listei de dispozitive asociate contului WhatsApp, din secțiunea „Setări”. Dacă apare un dispozitiv necunoscut, acesta trebuie dezactivat imediat.

Trebuie adăugat că pachetul malițios este activ de aproximativ 6 luni și a fost descărcat deja de peste 56.000 de ori din npm. Este adevărat, dezinstalarea lui elimină codul periculos, însă nu întrerupe automat legătura cu dispozitivul atacatorului. Aceasta trebuie eliminată manual, în caz contrar accesul neautorizat poate continua.

RECOMANDĂRILE AUTORULUI

Alertă din Marea Britanie: sistemul care centralizează datele personale ale românilor a fost spart ”în câteva minute”. Ce am aflat de la Londra și nu de la București despre buletinele noastre cu cip

Un nou VIRUS pe Whatsapp fură datele bancare ale utilizatorilor. Hackerii atacă telefoanele și obțin datele cardurilor, apoi sustrag banii din conturi

Vrei să știi dacă cineva îți SPIONEAZĂ telefonul mobil? Iată codurile secrete care îți vor dezvălui adevărul și cum ne putem proteja datele personale