Mii de utilizatori au descărcat biblioteca, convinși că este o unealtă oficială pentru automatizări, fără să bănuiască faptul că include componente capabile să preia controlul asupra sesiunilor lor.
Biblioteca era prezentată ca un modul pentru WhatsApp Web API, însă în realitate integra funcții ascunse care permiteau colectarea datelor sensibile ale utilizatorilor.
Cum acționează pachetul malițios
Codul folosit în acest modul este derivat dintr-un proiect open‑source destinat dezvoltării de boți pentru WhatsApp. Sub denumirea „lotusbail”, pachetul oferea funcții obișnuite de automatizare, dar în fundal captura tokenuri de autentificare, chei de sesiune și conținutul mesajelor.
Practic, tot traficul dintre utilizator și WhatsApp Web era interceptat înainte de a ajunge în aplicație. Mesajele primite, mesajele trimise, fișierele multimedia și datele de autentificare erau copiate și trimise către serverele atacatorilor.
Pentru a evita detectarea, informațiile erau criptate cu un mecanism RSA modificat, astfel încât monitorizarea rețelei să nu poată identifica activitatea suspectă.
Acces complet la cont prin asocierea unui dispozitiv extern
Una dintre cele mai periculoase funcții ale pachetului era posibilitatea de a conecta un dispozitiv suplimentar la contul victimei. Modulul genera un cod scurt, folosit apoi de atacator pentru a-și asocia propriul dispozitiv la contul WhatsApp al utilizatorului, folosind procedura oficială de „Linked Devices”.
Procesul se desfășura în fundal, fără notificări vizibile, ceea ce făcea accesul neautorizat extrem de greu de observat.
Cum pot utilizatorii să se protejeze
Experții în securitate recomandă câteva măsuri esențiale:
-
verificarea periodică a dispozitivelor conectate la contul WhatsApp, din meniul „Setări”;
eliminarea imediată a oricărui dispozitiv necunoscut;
dezinstalarea pachetului malițios, dacă a fost folosit în proiecte software;
ruperea manuală a sesiunilor asociate, deoarece simpla dezinstalare nu anulează accesul atacatorului.
Pachetul a fost activ timp de aproximativ jumătate de an și a fost descărcat de peste 56.000 de ori, ceea ce înseamnă că numărul conturilor expuse poate fi semnificativ.
Un nou semnal de alarmă pentru dezvoltatori și utilizatori
Incidentul arată cât de ușor poate fi exploatată încrederea în bibliotecile open‑source și cât de importantă este verificarea atentă a pachetelor instalate. În cazul WhatsApp, consecințele sunt deosebit de grave, deoarece accesul la mesaje și fișiere poate rămâne invizibil pentru utilizator mult timp.
Ce spun psihologii despre oamenii care răspund imediat la mesajele de pe WhatsApp
