WolfRAT, wirus celujący w użytkowników WhatsApp: jak się bronić


WolfRAT to wirus trojański, który przejmuje smartfony i zbiera dane osobowe użytkownika, głównie za pośrednictwem WhatsApp i Messengera

Badacze z Cisco Talos Security Intelligence and Research Group odkryli nowego, niebezpiecznego wirusa, którego nazwali WolfRAT i który celuje zwłaszcza w komunikatory internetowe, takie jak Facebook Messenger, Line, a przede wszystkim WhatsApp. Nie jest to nowy wirus, ale nowa wersja znanego już wirusa: DenDroid.

Dokładnie rzecz ujmując, jest to 'RAT', czyli Remote Access Trojan. Wirusy te przejmują kontrolę nad zainfekowanymi urządzeniami w celu wykradania danych osobowych i szpiegowania użytkownika. W konkretnym przypadku WolfRAT jest to bardzo dziwny wirus, ponieważ wydaje się być spartaczoną wersją DenDroid: w jego kodzie znaleziono kilka martwych ciągów (tj. bezużytecznych) i kilka błędów, do tego stopnia, że złośliwe oprogramowanie nie zawsze jest skuteczne. Jednak wirus, z którego się wywodzi, czyli DenDroid, choć pochodzi z 2015 roku, nadal jest dość rozbudowany i niebezpieczny. Ale przede wszystkim WolfRAT wydaje się być identyfikowalny z grupą hakerów, która prawdopodobnie została rozwiązana.

WolfRAT: jak działa i co ryzykujesz

W chwili obecnej ryzyko związane z WolfRAT dla włoskich użytkowników jest tylko wirtualne, ponieważ wirus został wyizolowany tylko na urządzeniach w Tajlandii, gdzie został rozprzestrzeniony (dokładnie tak samo jak w przypadku DenDroid) poprzez fałszywe powiadomienia o aktualizacjach Chrome, Flash lub Sklepu Play. Po zainstalowaniu na urządzeniu WolfRAT infekuje je i zaczyna zbierać dane, takie jak historia przeglądarki, listy połączeń i SMS-ów. To jednak najmniej istotne, bo wirus jest w stanie przejąć także kontrolę nad kamerą i mikrofonem i nagrywać, gdy WhatsApp jest otwarty, filmy z ekranu użytkownika co 50 sekund. Cały zebrany materiał jest następnie przesyłany do serwerów Command and Control (C2) w Tajlandii. O tajskim pochodzeniu złośliwego oprogramowania świadczą również niektóre polecenia JavaScript napisane w języku tego azjatyckiego kraju.


Wolf Research powraca?

Według badaczy Talosa, serwery otrzymujące dane skradzione przez WolfRAT mogą być namierzone przez znanego producenta oprogramowania szpiegującego o nazwie Wolf Research, tego samego, który pięć lat temu stworzył DenDroida. Według raportu VirusTotal z 2018 r. firma Wolf Research w przeszłości sprzedawała zagranicznym rządom złośliwe oprogramowanie do zdalnego nadzoru urządzeń z systemami Windows, Android i iOS. Ale Wolf Research jest oficjalnie zamknięty, ponieważ został przekształcony w inną firmę o nazwie LokD. Hipoteza Talosa jest taka, że w biznesie wciąż działają byli pracownicy Wolf Research i że ci bohaterowie ponownie przejmują kod DenDroida, aby przerobić go na nowy, potężniejszy wirus.