Атака шпионского ПО через WhatsApp обнажает ограниченность безопасности приложений

Итальянская компания по слежке использовала поддельное приложение WhatsApp для распространения шпионского ПО

WhatsApp сообщил, что итальянская компания по слежке ASIGINT, дочерняя структура фирмы SIO, обманом вынудила около 200 пользователей загрузить поддельную версию мессенджера, заражённую шпионским ПО. Жертвы находились преимущественно в Италии, а сама кампания была описана как высоко избирательная — она опиралась на социальную инженерию, а не на технические уязвимости самого WhatsApp.

После того как WhatsApp выявил затронутые аккаунты, компания принудительно завершила сеансы этих пользователей на платформе и призвала их найти и удалить мошенническое приложение со своих устройств. SIO публично заявила, что сотрудничает с правоохранительными органами и спецслужбами, однако WhatsApp в своём заявлении не подтвердил и не поддержал эти утверждения.

Это уже второй случай за 15 месяцев, когда Meta, материнская компания WhatsApp, публично реагирует на активность шпионского ПО, связанную с Италией. Подобная закономерность свидетельствует о растущем внимании к коммерческим инструментам слежки, действующим в этом регионе.

Как на самом деле выглядит социальная инженерия

Термин «социальная инженерия» нередко воспринимается как технический жаргон, однако суть его проста: вместо того чтобы взламывать систему, злоумышленники манипулируют людьми, вынуждая их самих открыть доступ.

В данном случае жертв обманом убедили загрузить приложение, которое выглядело как WhatsApp, но таковым не являлось. Обман, по всей видимости, включал сочетание поддельных ссылок для скачивания, вводящих в заблуждение инструкций или выдачи себя за надёжный источник. Никакой уязвимости в коде самого WhatsApp не потребовалось. Атака сработала, потому что люди доверяли тому, что видели перед собой.

Это принципиально важное различие. Когда компания устраняет программную уязвимость, она закрывает технический путь для проникновения. Атаки с использованием социальной инженерии не зависят от таких уязвимостей. Они эксплуатируют человеческое поведение — в частности, склонность доверять знакомым интерфейсам и следовать указаниям кажущихся авторитетными источников.

Никакое обновление приложения, сколь бы тщательным оно ни было, не способно полностью устранить этот изъян.

Повторяющаяся проблема коммерческого шпионского ПО

Коммерческие инструменты слежки, продаваемые правительствам и правоохранительным органам, давно вызывают серьёзную обеспокоенность у исследователей в области конфиденциальности и организаций по защите гражданских свобод. Компании, создающие подобные инструменты, как правило, утверждают, что они служат законным следственным целям. Критики указывают на то, что те же инструменты могут применяться — и действительно применялись — против журналистов, активистов, адвокатов и рядовых граждан, не имеющих никакого отношения к преступной деятельности.

ASIGINT и SIO вписываются в знакомый для этой сферы профиль. Существование поддельного приложения WhatsApp, созданного для скрытой установки шпионского ПО, поднимает вопросы о надзоре, критериях выбора целей и о том, какие правовые механизмы — если таковые вообще имелись — регулировали эту конкретную кампанию. Публичное заявление WhatsApp не дало ответов на эти вопросы, однако само по себе примечательно то, что крупная платформа сочла нужным публично назвать компанию и предупредить пострадавших пользователей.

Для примерно 200 человек, втянутых в эту кампанию, произошедшее стало жёстким напоминанием о том, что угроза исходила не из уязвимости приложения, которое они выбрали сами. Она возникла в результате обмана, заставившего их воспользоваться совершенно другим приложением.

Что это означает для вас

Рядовой пользователь WhatsApp вряд ли окажется целью коммерческой операции по слежке. Подобные кампании, как правило, дорогостоящи, требуют значительных трудозатрат и направлены против конкретных лиц. Однако сам метод — обманом заставить кого-то установить вредоносное приложение, придав ему вид легитимного, — не является исключительной прерогативой слежки на уровне государств. Разновидности этой тактики встречаются в повседневных фишинговых кампаниях и мошеннических схемах по всему миру.

Случай с WhatsApp служит полезным напоминанием: цифровая безопасность — это не только вопрос доверия к нужным приложениям. Не менее важно обращать внимание на то, откуда эти приложения берутся.

Вот практические шаги, заслуживающие внимания:

• Скачивайте приложения только из официальных источников. На Android это Google Play Store. На iOS — App Store. Избегайте установки приложений по ссылкам, полученным в сообщениях, даже от знакомых людей.
• Проверяйте информацию перед установкой. Если кто-то отправил вам ссылку для загрузки приложения, зайдите напрямую на официальный сайт этого приложения, а не переходите по присланной ссылке.
• Не отключайте функции безопасности устройства. Большинство современных операционных систем предупреждают о приложениях из непроверенных источников. Прислушивайтесь к этим предупреждениям.
• Относитесь скептически к ситуациям, требующим срочных действий. Атаки с использованием социальной инженерии зачастую создают ощущение срочности, чтобы подавить критическое мышление. Если инструкции давят на вас, притормозите.
• Реагируйте на предупреждения от разработчиков приложений. WhatsApp проактивно связался с пострадавшими пользователями. Если сервис, которым вы пользуетесь, сообщает вам о проблеме с безопасностью, отнеситесь к этому серьёзно и следуйте его рекомендациям.

Главный урок этого инцидента состоит в том, что ни одно отдельно взятое приложение не способно полностью обеспечить вашу безопасность. Оставаться в безопасности — значит выработать привычки, а не просто пользоваться нужными инструментами. Осознанный подход к источникам своего программного обеспечения и здоровый скептицизм в ситуациях, когда что-то кажется подозрительным, по-прежнему остаются одними из самых эффективных средств защиты для любого пользователя.