Hundratals personer lurades installera spionprogram förklädda som WhatsApp
Hundratals människor laddade ner en app som utgav sig för att vara WhatsApp och installerade utan att veta om det ett spionprogram på sina telefoner. Attacken drabbade framför allt Italien, men samma scenario kan drabba vem som helst som installerar program utanför de officiella appbutikerna.
Även om Italien stod i centrum för attacken är själva mekanismen universell. Bakom kampanjen finns ett företag inom digital övervakning, och målet är tyst spionage mot smartphones.
Risken med att installera appar utanför Google Play eller App Store är allt annat än teoretisk. Cybersäkerhetsexperter påpekar gång på gång att just tillit till ett välbekant logotyp och appnamn är en av de vanligaste orsakerna till lyckade attacker. Med den falska WhatsApp-appen satsade angriparna på användarnas psykologi och deras rutinartade beteende vid installation av nya program.
Meta, som äger WhatsApp, bekräftade att de identifierat en kampanj som använde en manipulerad version av meddelandeappen. De drabbade användarna installerade appen på egen hand, i tron att det rörde sig om en officiell eller förbättrad version. WhatsApps krypteringsmekanismer förblev intakta – problemet låg uteslutande i den mänskliga faktorn.
Så gick attacken med den falska WhatsApp-appen till
WhatsApp meddelade att man identifierat ungefär 200 konton där en inofficiell, modifierad version av appen hade använts. Den stora majoriteten av fallen rörde användare i Italien. Scenariot är relativt enkelt: någon får en länk till en app som liknar WhatsApp, ser det välkända logotypen och namnet, och laddar ner installationsfilen utan större misstankar.
Efter installationen ser klienten nästan identisk ut med den vanliga appen. Skillnaden döljer sig i det som inte syns: i bakgrunden körs en spionmodul som får tillgång till utvalda data på telefonen. Det kan röra sig om samtalsinformation, delar av konversationsdata, kontakter, enhetsuppgifter eller nätverksaktivitet.
Attackens grundidé bygger på att användaren själv, med full övertygelse, ska installera den skadliga appen och ge den alla nödvändiga behörigheter. Angriparna behöver inte med våld bryta sig igenom Androids säkerhet när de istället kan be om nyckeln till ytterdörren.
Vid installation av en sådan app brukar Android normalt visa en varning om installation från okänd källa. Många användare förbiser dock den här varningen eller tror att det bara är en vanlig teknisk formalitet som gäller alla appar utanför Google Play.
Vad WhatsApp gjorde – och varför det inte handlar om ett säkerhetshål i appen
När WhatsApps säkerhetsteam avslöjade kampanjen med den falska appen kopplades de konton som kunde ha kommit i kontakt med den från tjänsten. Företaget informerade innehavarna av dessa nummer och krävde att de loggade in igen via den officiella klienten.
Representanter för meddelandetjänsten betonar att end-to-end-krypteringen fungerar korrekt och att den ursprungliga appen inte har blivit hackad. Inte heller upptäcktes något säkerhetshål i Metas infrastruktur. Problemet beror uteslutande på att en del användare medvetet – om än ovetandes om riskerna – installerade ett externt program som utger sig för att vara en välkänd tjänst.
Med andra ord bestod attacken inte i att bryta sig igenom WhatsApps säkerhet. Istället utnyttjades det faktum att det på Android, och i viss mån på andra plattformar, går att manuellt installera appar utanför Google Play efter att man godkänt vissa ytterligare inställningar.
Den officiella WhatsApp-appen är gratis tillgänglig i både Google Play och App Store. Det finns ingen anledning varför en användare skulle behöva söka alternativa nedladdningskällor. Alla länkar som leder någon annanstans än till de officiella appbutikerna bör betraktas som misstänkta.
Vem ligger bakom kampanjen med den falska appen
WhatsApp pekar ut ett italienskt företag inom digital övervakning som verkar under namnet SIO genom dotterbolaget Asigint. Företaget ska specialisera sig på övervaknings- och datainsamlingsteknologi som ofta säljs till offentliga institutioner, säkerhetsorgan eller privata uppdragsgivare.
Meta, som äger WhatsApp, har aviserat rättsliga åtgärder för att stoppa verksamheten. Det är inte första gången meddelandetjänsten bekämpar leverantörer av spionprogram. Under tidigare år har man varnat journalister, aktivister och representanter för ideella organisationer som blivit måltavlor för liknande verktyg. Dessa fall har inte sällan lett till uppmärksammade kontraktsavslut med företag som levererar sådana övervakningssystem.
Branschen för kommersiell spionprogramvara begränsar sig inte till enstaka aktörer. Det finns hela ekosystem av företag som erbjuder heltäckande tjänster för digital övervakning. Många av dem presenterar sig som säkerhetspartners eller leverantörer av laglig övervakning.
Experter varnar för att den här sektorn växer snabbt och att verktygen blir allt mer tillgängliga. Medan liknande teknik tidigare framför allt användes av underrättelsetjänster, kan den i dag köpas av mindre aktörer eller privatpersoner med tillräckliga ekonomiska resurser.
Varför användare går i fällan med falska appar
Angriparna behöver inte djupa kunskaper om säkerhetshål i systemen. De fokuserar på psykologi. I fallet med den falska WhatsApp brukar flera faktorer samverka: stress, tillit till den som skickade länken, ett välbekant logotyp och namn, samt löftet om extra funktioner eller en förbättrad version av appen.
I praktiken brukar folk:
- klicka på en länk skickad via e-post, SMS eller en annan meddelandeapp
- acceptera varningen om installation från okänd källa, för att ”alla verkar göra det”
- ge appen vida behörigheter, eftersom den annars inte fungerar
- lita på ett välkänt logotyp och namn utan att kontrollera källan
- lockas av löftet om exklusiva funktioner eller en snabbare version
- installera appen på rekommendation av en vän som själv redan blivit infekterad
Det här scenariot gäller inte bara WhatsApp. Liknande kampanjer utnyttjar falska versioner av mobilbankstjänster, meddelandeappar, offentliga tjänsteappar eller verktyg för distansarbete. Illusionen av officiell status är mycket stark, särskilt när länken sprids av någon bekant som själv blivit infekterad tidigare.
Cyberkriminella bryter sig allt sällsynt igenom starka säkerhetsdörrar – istället föredrar de att be om att bli insläppta och välkomnade. Metoder för social ingenjörskonst är i dag effektivare än tekniska attacker mot systemsäkerheten.
Hur du känner igen och undviker en falsk WhatsApp-app
WhatsApp påminner vid detta tillfälle om en grundläggande princip: appar laddas alltid ner från officiella butiker – Google Play, App Store, eller tillverkarens officiella webbplats när det gäller datorprogram. Varje avvikelse från denna regel ökar risken för att installera skadlig programvara.
Om du misstänker att du kan ha installerat en falsk version av WhatsApp bör du så snart som möjligt avinstallera den icke-officiella appen. Därefter är det lämpligt att genomsöka enheten med ett pålitligt antivirusprogram och byta lösenord till de viktigaste tjänsterna som e-post, bankärenden och sociala medier.
Det är också viktigt att kontrollera om det dykt upp nya, okända profiler eller administratörsappar i systemet. En del spionprogram försöker nämligen skaffa sig administratörsrättigheter, vilket försvårar avinstallationen.
De exakta konsekvenserna beror på vilket verktyg som installerats, vilka behörigheter som beviljats och telefonmodellen. I många fall kan ett sådant program samla in metadata kopplad till kommunikation: när, med vem och hur ofta användaren kommunicerar, och ibland även fånga upp innehåll utanför det krypterade lagret.
Om spionprogrammet får tillgång till enhetens lagringsutrymme eller aviseringar kan det ta del av konversationsfragment, skärmdumpar, kontaktlistor och inloggningstokens till andra appar. Det öppnar vägen för ytterligare missbruk, till exempel övertagande av konton på sociala medier eller inloggning till finansiella tjänster.
Varför teknisk säkerhet inte räcker på egen hand
Fallet med den falska WhatsApp-appen belyser skillnaden mellan teknisk säkerhet och mänskliga vanor. Inte ens den bäst skyddade tjänsten kan skydda mot en situation där någon medvetet släpper in främmande programvara i sin telefon, i tron att det är samma app men från en annan källa.
I vardagsanvändningen lönar det sig att behandla sin smartphone mer som en plånbok än som ett leksak. Om någon på gatan räckte fram en ny officiell plånbok och bad dig flytta över dina kort, skulle du troligen tacka nej. Med appar är det klokt att resonera på samma sätt: om en länk till påstådda WhatsApp inte leder till Google Play eller App Store, ignorera den – oavsett hur lockande den ser ut.
Allt fler attacker kommer att utnyttja välkända varumärken och pålitliga tjänster, eftersom dessa drar till sig störst uppmärksamhet. Kännedom om dessa scenarios gör det lättare att upptäcka manipulationsförsök. Och några enkla, konsekventa vanor vid installation av appar kan skydda mot konsekvenserna av även de mest avancerade spionverktygen.
