Pachetul periculos a fost descoperit în Node Package Manager, cunoscut ca npm, o platformă folosită de dezvoltatorii JavaScript pentru a distribui biblioteci software. Acesta se prezintă drept o bibliotecă legitimă pentru WhatsApp Web API dar, în realitate, conține funcții ascunse de spionaj, notează El Economista.
Cum acționează virusul cibernetic
Codul este o bifurcație a proiectului WhiskeySockets Baileys, utilizat în mod normal pentru crearea de boți și automatizări în WhatsApp Web. Publicat sub numele „lotusbail”, pachetul a fost identificat de compania de securitate Koi Security și oferă mult mai mult decât funcțiile declarate.
Pe lângă automatizări, acesta permite furtul tokenurilor de autentificare și al cheilor de sesiune WhatsApp. De asemenea, poate intercepta mesajele trimise și primite, oferind acces complet la conținutul conversațiilor și la fișierele multimedia, inclusiv fotografii, mesaje audio și videoclipuri.
Cercetătorii explică faptul că pachetul afectează clientul WebSocket legitim care comunică cu WhatsApp. Practic, toate mesajele sunt capturate înainte de a fi procesate de aplicație.
„Când te autentifici, containerul îți capturează datele de autentificare. Când sosesc mesajele, le interceptează. Când trimiți mesaje, le înregistrează. Funcționalitatea legitimă continuă să funcționeze normal; malware-ul doar adaugă un al doilea destinatar pentru tot”, explică specialiștii.
Datele furate sunt criptate printr-o implementare RSA personalizată, înainte de a fi trimise către atacatori, tocmai pentru a nu fi detectate de sistemele de monitorizare a rețelei.
Mai grav, atacatorii pot ajunge să controleze complet contul WhatsApp al victimei. Pachetul conține o funcție care leagă un dispozitiv extern de cont, folosind mecanismul oficial de asociere a dispozitivelor.
Este generată o secvență aleatorie de 8 caractere, introdusă pe dispozitivul atacatorului, iar malware-ul deturnează procesul de asociere printr-un cod preconfigurat. Astfel, accesul la conversații devine invizibil pentru utilizator.
Sfaturile specialiștilor
Specialiștii recomandă verificarea periodică a listei de dispozitive asociate contului WhatsApp, din secțiunea „Setări”. Dacă apare un dispozitiv necunoscut, acesta trebuie dezactivat imediat.
Pachetul malițios este activ de aproximativ șase luni și a fost descărcat deja de peste 56.000 de ori din npm. Dezinstalarea lui elimină codul periculos, însă nu rupe automat legătura cu dispozitivul atacatorului. Aceasta trebuie eliminată manual, altfel accesul neautorizat poate continua.