Nowe złośliwe oprogramowanie jest przesyłane za pośrednictwem wiadomości WhatsApp i ma duży potencjał rozprzestrzeniania się, wciąż nie wiadomo, jaki jest jego potencjał.
WhatsApp, Sklep Google Play i Huawei: trzy duże nazwy w cyfrowym świecie wykorzystywane razem przez hakerów do rozprzestrzeniania wirusa. Robak, czyli złośliwe oprogramowanie, które replikuje się poprzez rozprzestrzenianie się wśród naszych kontaktów, aby jak najbardziej wzmocnić swoje rozprzestrzenianie się. W tym przypadku rozprzestrzenia się on wśród kontaktów WhatsApp.
Odkrył to półanonimowy badacz bezpieczeństwa, który jest obecny na Twitterze pod profilem @ReBensk. Lukas Stefanko, badacz cyberbezpieczeństwa z firmy Eset, poinformował o tym fakcie, a także zamieścił na Twitterze i YouTube film pokazujący, jak działa wirus. Złośliwe oprogramowanie nie zostało jeszcze nazwane, ale ponieważ do tej pory znaleziono tylko wersję dla Androida, a nie dla iOS, Stefanko nazywa je ogólnie "Android WhatsApp Worm". To złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem fałszywej aplikacji Huawei Mobile, którą użytkownik pobiera z fałszywego sklepu Google Play. Oto jak działa infekcja.
Jak działa Android WhatsApp Worm
Infekcja Android WhatsApp Worm - będziemy nazywać ją tą ogólną nazwą w oczekiwaniu na dalsze analizy w celu zidentyfikowania jej dokładnej rodziny - rozpoczyna się od wiadomości otrzymanej na WhatsApp.
Wiadomość, w języku angielskim, zachęca do pobrania aplikacji w celu wygrania smartfona. Link zawarty w wiadomości bardzo dobrze naśladuje adres Sklepu Play Google. Jeśli użytkownik kliknie na nią, zostanie przeniesiony do fałszywego Sklepu Play w celu pobrania fałszywej aplikacji Huawei Mobile.
Po pobraniu i zainstalowaniu aplikacji prosi ona o wiele uprawnień do działania, których będzie potrzebować później, aby dalej rozprzestrzeniać wirusa.
Jak replikować Android WhatsApp Worm
W tym momencie wszystko jest gotowe do dalszego rozprzestrzeniania infekcji Android WhatsApp Worm. Gdy ktoś wyśle wiadomość WhatsApp do osoby z zainfekowanym smartfonem, robak automatycznie wkracza do akcji i sam odpowiada, wysyłając do tego kontaktu tę samą wiadomość z linkiem do pobrania aplikacji.
Wiadomość jest powtarzana co godzinę. Następnie tworzony jest łańcuch, którego celem jest zainfekowanie jak największej liczby smartfonów. W tym celu robak wykorzystuje funkcję "inteligentnej odpowiedzi" w WhatsApp, która pozwala odpowiadać na wiadomości otrzymane bezpośrednio z obszaru powiadomień bez otwierania aplikacji. To sprawia, że trudniej jest zauważyć, że coś jest nie tak z Twoim smartfonem.
Co robi Android WhatsApp Worm
W tej chwili ten wirus nie wydaje się być wyjątkowo niebezpieczny: po prostu sam się replikuje, nie robiąc nic więcej. Może to być zatem udany pierwszy eksperyment młodego hakera.
Ale według Stefanko, może to być tylko pierwsza faza kampanii mającej na celu oszukanie obiegu reklamowego: po zainfekowaniu wystarczającej liczby smartfonów, aktywowany zostanie adware (tj. wirus, który otwiera banery reklamowe w tle).