אזהרה דחופה: תוכנה זדונית חדשה גונבת חשבונות ווצאפ - כך תגנו על עצמכם

חוקרי אבטחה מחברת Koi Security חשפו השבוע מתקפת סייבר מתוחכמת שמכוונת למשתמשי ווצאפ ברחבי העולם. התגלית מדאיגה במיוחד משום שהתוקפים הצליחו להסתתר במשך חצי שנה מתחת לרדאר, כשהם מתחזים לכלי פיתוח לגיטימי.

מדובר בחבילת קוד בשם Lotusbail שהוצגה כספריית API לתקשורת עם ווצאפ. במבט ראשון היא נראית ופועלת בדיוק כמו הספרייה המקורית שעליה היא מבוססת, אבל מאחורי הקלעים היא מבצעת פעולות שהמשתמשים לא מודעים אליהן כלל. 
במהלך שישה חודשים היא צברה יותר מ-56,000 הורדות, מה שהעניק לה אמינות מזויפת בעיני מערכות הבדיקה האוטומטיות.

הנוזקה פועלת בשיטה מתוחכמת. היא עוטפת את ערוץ התקשורת של ווצאפ כך שכל הודעה שנשלחת או מתקבלת עוברת קודם כל דרכה. בזמן שהמשתמש ממשיך להשתמש באפליקציה כרגיל, ברקע נאספים פרטי ההתחברות שלו, כל ההודעות הנכנסות והיוצאות, רשימת אנשי הקשר המלאה וכל קובצי המדיה שעוברים דרך האפליקציה.

אבל הסכנה האמיתית טמונה דווקא במקום אחר. החוקרים גילו שהנוזקה מנצלת את מנגנון קישור המכשירים של ווצאפ, אותה תכונה שמאפשרת לנו להשתמש בווצאפ מהמחשב או מהטאבלט. באמצעות קוד שמוטמע מראש בחבילה, היא מקשרת בסתר מכשיר נוסף לחשבון הקורבן, מכשיר ששייך לתוקפים.

המשמעות קשה. מרגע שהקישור בוצע, לתוקף יש גישה מלאה לחשבון. הוא יכול לקרוא את כל ההודעות בזמן אמת, לשלוח הודעות בשם הקורבן, להוריד תמונות וסרטונים ולגשת לכל אנשי הקשר. והכי מטריד, גם אם הקורבן מגלה את החבילה הזדונית ומסיר אותה, הגישה של התוקף נשארת פעילה. היא תיפסק רק אם המשתמש ייכנס להגדרות ווצאפ וינתק ידנית את כל המכשירים המקושרים.

התוקפים לא הסתפקו בפיתוח הנוזקה עצמה. הם השקיעו מאמצים ניכרים בהסתרתה מפני חוקרי אבטחה. החבילה כוללת 27 מנגנונים שונים שמזהים כלי ניתוח וחקירה, ומקפיאים את הפעילות החשודה כשמנסים לבדוק אותה. בנוסף, כל המידע הגנוב מוצפן בהצפנה מותאמת אישית לפני שהוא נשלח לשרתי התוקפים.

ניתוח סטטי רואה קוד עובד של ווצאפ ומאשר אותו. מערכות מוניטין רואות 56,000 הורדות וסומכות עליו", הסבירו החוקרים בדוח שפרסמו. "הנוזקה מתחבאה בפער שבין הקוד הזה עובד לבין הקוד הזה עושה רק מה שהוא טוען לעשות.

חשוב להבהיר מי נמצא בסיכון. המתקפה מכוונת בעיקר למפתחים ולבעלי עסקים שמשתמשים בממשקי תכנות של ווצאפ לצרכים עסקיים. 
אלה יכולים להיות בוטים לשירות לקוחות, מערכות הודעות אוטומטיות או כלי שיווק שונים. משתמשים פרטיים שמשתמשים באפליקציית ווצאפ הרגילה מחנות האפליקציות אינם בסיכון ישיר, אלא אם כן מישהו שמחזיק את מספר הטלפון שלהם במערכת שלו עושה שימוש בחבילה הנגועה.

בכל מקרה, מומלץ לכל משתמש ווצאפ להיכנס להגדרות האפליקציה, לבחור באפשרות מכשירים מקושרים ולבדוק אם מופיעים שם מכשירים שאינם מוכרים. אם מזהים משהו חשוד, יש לנתק אותו מיידית. למפתחים ובעלי עסקים שעובדים עם ממשקי API של ווצאפ, מומלץ לבדוק לעומק את החבילות שבהן הם משתמשים ולוודא שהן מגיעות ממקורות מאומתים בלבד.

מתקפה זו מצטרפת לגל הולך וגובר של התקפות על שרשרת האספקה של תוכנה. התוקפים הבינו שקל יותר להחדיר קוד זדוני דרך כלי פיתוח פופולריים מאשר לתקוף ישירות את המשתמשים. העובדה שחבילה עם עשרות אלפי הורדות הצליחה לפעול במשך חצי שנה מבלי להתגלות מעלה שאלות לא פשוטות לגבי מנגנוני האבטחה הקיימים במאגרי הקוד הפתוח.