WhatsApp: pozor na virus z falešné aplikace Huawei


Nový malware se přenáší prostřednictvím zpráv WhatsApp a má vysoký potenciál šíření, zatím není jasné, jaký je jeho potenciál.

WhatsApp, Google Play Store a Huawei: tři velká jména digitálního světa, která hackeři společně využívají k šíření viru. Přesněji řečeno červ, což je malware, který se replikuje šířením mezi našimi kontakty, aby se co nejvíce rozšířil. V tomto případě se šíří mezi kontakty WhatsApp.

Tuto skutečnost zjistil poloanonymní bezpečnostní výzkumník, který se na Twitteru prezentuje pod profilem @ReBensk. Lukas Stefanko, výzkumník kybernetické bezpečnosti ze společnosti Eset, o tom informoval a na Twitteru a YouTube zveřejnil video, které ukazuje, jak virus funguje. Malware zatím nebyl pojmenován, ale vzhledem k tomu, že zatím byla nalezena pouze verze pro Android a nikoliv pro iOS, Stefanko jej nazývá obecně "Android WhatsApp Worm". Tento malware se šíří prostřednictvím falešné aplikace Huawei Mobile, kterou si uživatel stáhne z falešného obchodu Google Play. Zde je popsáno, jak infekce funguje.

Jak funguje Android WhatsApp Worm

Infekce Android WhatsApp Worm - až do další analýzy, která určí její přesnou rodinu, ji budeme nazývat tímto obecným názvem - začíná zprávou přijatou na WhatsApp.

Zpráva v angličtině vyzývá ke stažení aplikace, díky které můžete vyhrát smartphone. Odkaz obsažený ve zprávě velmi dobře napodobuje adresu obchodu Play společnosti Google. Pokud na něj uživatel klikne, je přesměrován do falešného Obchodu Play, kde si stáhne falešnou aplikaci Huawei Mobile.

Po stažení a instalaci aplikace požádá o spoustu oprávnění k provozu, která bude později potřebovat k dalšímu šíření viru.


Jak replikovat Android WhatsApp Worm

V tomto okamžiku je vše připraveno k dalšímu šíření infekce Android WhatsApp Worm. Když někdo pošle zprávu WhatsApp osobě s nakaženým smartphonem, červ automaticky přejde do akce a sám odpoví a pošle danému kontaktu stejnou zprávu s odkazem na stažení aplikace.

Zpráva se opakuje každou hodinu. Poté se vytvoří řetězec, jehož cílem je infikovat co nejvíce chytrých telefonů. K tomu červ využívá funkci "chytré odpovědi" aplikace WhatsApp, která umožňuje odpovídat na zprávy přijaté přímo z oznamovací oblasti bez nutnosti otevřít aplikaci. Díky tomu je obtížnější si všimnout, že s vaším smartphonem není něco v pořádku.


Co dělá Android WhatsApp Worm

V tuto chvíli se nezdá, že by tento virus byl extrémně nebezpečný: pouze se sám rozmnožuje, aniž by dělal cokoli jiného. Mohlo by se tedy jednat o první úspěšný pokus mladého hackera.

Podle Stefanka se však může jednat pouze o první fázi kampaně, jejímž cílem je podvést reklamní řetězec: jakmile bude infikován dostatečný počet smartphonů, aktivuje se adware (tj. virus, který na pozadí otevírá reklamní bannery).