Falsk WhatsApp-app spionerar på användare – nästan 200 offer

Av /

Spionapp dold som WhatsApp har drabbat hundratals användare

Hundratals personer har laddat ner en app som utgivit sig för att vara WhatsApp och omedvetet installerat spionprogram på sina telefoner. Kampanjen har drabbat Italien hårdast, men attacken är så universellt uppbyggd att den potentiellt kan drabba vem som helst.

Problemet ligger inte i WhatsApp självt eller i appens säkerhet. Angriparna satsade på psykologi och mänskligt förtroende. Bakom hela operationen står ett företag som specialiserar sig på digital övervakning, vars mål är omärkt spionage på smartphones.

Vad WhatsApps säkerhetsteam upptäckte

Säkerhetsexperter från WhatsApp identifierade cirka 200 konton där en inofficiell, modifierad version av meddelandeappen hade använts. Det stora flertalet fall involverade användare från Italien. Scenariot är enkelt: någon tar emot en länk till en app som liknar WhatsApp, ser den välbekanta logotypen och namnet, och laddar ner installationsfilen utan större misstankar.

Efter installationen ser appen utåt nästan identisk ut med den äkta meddelandetjänsten. Skillnaden ligger i det man inte kan se: i bakgrunden körs en spionmodul som skaffar sig tillgång till utvalda data på telefonen. Det kan röra sig om uppgifter om samtal, delar av meddelandedata, kontakter, enhetsinformation eller nätverksaktivitet.

Vad WhatsApp gjorde och varför det inte är ett fel i appen

När WhatsApps säkerhetsteam avslöjade kampanjen som använde den falska appen, kopplades konton som möjligen kommit i kontakt med den bort från tjänsten. Företaget varnade ägarna av dessa nummer och tvingade dem att logga in igen via den officiella klienten. WhatsApps representanter understryker att end-to-end-krypteringen fungerar korrekt och att originalappen inte har äventyrats.

Inga säkerhetshål hittades heller i Metas infrastruktur. Problemet ligger enbart i att en grupp människor medvetet — om än utan kunskap om risken — installerade ett externt program som utgav sig för att vara en välkänd tjänst. Attacken bröt med andra ord inte igenom WhatsApps säkerhet, utan utnyttjade istället att man på Android kan installera appar manuellt utanför Google Play, bara genom att acceptera ytterligare behörigheter i inställningarna.

Denna typ av attack kringgår inte tekniska barriärer — den ber helt enkelt användarna om att frivilligt samarbeta. Cybersäkerhetsforskare varnar för att sådana metoder blir alltmer utbredda, just eftersom de inte kräver kunskap om sofistikerade systemsårbarheter.

Vem står bakom kampanjen med den falska appen

WhatsApp pekar på ett italienskt företag inom digital övervakning som opererar under namnet SIO via dotterbolaget Asigint. Detta företag tros specialisera sig på övervaknings- och datainsamlingsteknologier som det typiskt säljer till offentliga institutioner, underrättelsetjänster eller privata uppdragsgivare. Meta, som äger WhatsApp, har aviserat rättsliga åtgärder i syfte att stoppa denna verksamhet.

Det är inte första gången WhatsApp stöter på leverantörer av spionprogram. Under tidigare år varnade WhatsApp journalister, aktivister och representanter för civila organisationer som blivit mål för liknande verktyg. Dessa fall slutade inte sällan med offentliga uppgörelser med företag som levererade sådana övervakningssystem.

Marknaden för kommersiell spionprogramvara utgör ett växande säkerhetshot. Cybersäkerhetsspecialister följer noga utvecklingen i hela ekosystemet av företag som opererar i gråzonen mellan legitim övervakning och olagligt spionage.

Spionageindustrin växer sig starkare

Marknaden för kommersiell spionprogramvara begränsar sig inte till enskilda aktörer. Det finns hela ekosystem av företag som utvecklar programvara för fjärrövervakning av enheter och säljer tillgång till färdiga nyckelfärdiga verktyg.

  • Programvara för fjärrövervakning av enheter
  • Försäljning av tillgång till färdiga nyckelfärdiga verktyg
  • Analytiska tjänster baserade på avlyssnad data
  • Kampanjer riktade mot specifika personer eller grupper
  • Erbjudanden om laglig övervakning till statliga myndigheter
  • Distribution via falska appar
  • Kringgående av integritetsskydd genom social engineering

Specialister från organisationer som Citizen Lab och Amnesty International avslöjar löpande nya fall av kommersiell spionprogramvara. Deras rapporter visar att denna industri genererar årliga omsättningar på hundratals miljoner dollar och sysselsätter tusentals programmerare och analytiker världen över.

Dessa företag presenterar sig ofta som säkerhetspartners eller leverantörer av laglig övervakning, men deras verktyg kan hamna i händerna på aktörer som använder dem för obehörig övervakning av vanliga internetanvändare. Forskare från universiteten i Toronto och Berkeley har dokumenterat dussintals fall av missbruk av sådan programvara riktad mot journalister och människorättsförsvarare.

Varför användare faller för falska appar

Angriparna behöver inte djupgående kunskap om säkerhetshål i system. De fokuserar på psykologi. I fallet med den falska WhatsApp verkar flera element typiskt samtidigt: brådska, förtroende för personen som skickar länken, den välbekanta logotypen och namnet samt löftet om extrafunktioner eller en förbättrad version av meddelandetjänsten.

I praktiken klickar folk ofta på en länk som skickats via e-post, SMS eller en meddelandeapp, accepterar varningen om installation från okänd källa eftersom ”det är ju normalt”, och ger appen breda behörigheter eftersom den annars inte fungerar. Detta mönster gäller inte bara WhatsApp — liknande kampanjer använder falska versioner av mobilbankappar, meddelandetjänster, offentliga appar och distansarbetsverktyg.

Illusionen av officialitet är mycket stark, särskilt när länken vidarebefordras av en bekant som själv blivit infekterad. Cyberkriminella bryter i allt högre grad inte igenom tunga dörrar — de ber istället folk att frivilligt öppna på vid gavel och bjuda in dem. Cybersäkerhetsexperter från företag som Kaspersky och ESET varnar för att just social engineering idag utgör det största hotet mot vanliga användare.

Så känner du igen och undviker falsk WhatsApp

WhatsApp påminner vid detta tillfälle om en grundläggande regel: appar laddas ner uteslutande från officiella butiker — Google Play, App Store eller från tillverkarens officiella sida när det gäller datorapplikationer. Varje avvikelse från denna regel ökar risken för installation av skadlig programvara.

Om någon misstänker att de kan ha installerat en falsk version av WhatsApp, bör de snarast avinstallera den oauktoriserade appen, skanna enheten med ett pålitligt antivirusprogram, ändra lösenord till de viktigaste tjänsterna som e-post, nätbank och sociala medier samt kontrollera om det dykt upp okända profiler eller administratörsappar i systemet.

Specialister från Google och Apple uppdaterar jämnt skyddsmekanismerna i sina appbutiker. Ändå kan man aldrig helt utesluta att en skadlig app slipper igenom kontrollen. Därför är det viktigt att hålla ögonen på recensioner, publiceringsdatum och antal nedladdningar. En ny app med tusentals installationer och bara få recensioner bör väcka misstankar.

Vad en spionapp faktiskt kan se

De exakta möjligheterna beror på det konkreta verktyget, de tilldelade behörigheterna och telefonmodellen. I många fall kan ett sådant program samla in metadata relaterad till kommunikation: när, med vem och hur ofta användaren kommunicerar — och ibland även fånga upp innehåll utanför det krypterade lagret. Om spionprogramvara får tillgång till enhetens minne eller notifieringar kan den få en inblick i fragment av samtal, skärmdumpar, kontaktlistor och inloggningstokens till andra appar.

Det öppnar vägen för ytterligare missbruk, exempelvis övertagande av konton på sociala medier eller inloggning till finansiella tjänster. Det är just därför situationer är så farliga där någon vidarebefordrar en infekterad app i tron att de hjälper bekanta att installera en bättre version, istället för att varna dem för hotet.

Forskare från Massachusetts Institute of Technology har påvisat att modern spionprogramvara kan operera helt dolt utan några synliga tecken. En användare kan därmed använda en infekterad enhet i månader utan att ana att de övervakas. Telefonen visar ingen märkbar avmattning, batteriet laddas ur inte snabbare och inget misstänkt dyker upp på listan över appar.

Varför teknologi ensam inte räcker

Fallet med den falska WhatsApp illustrerar skillnaden mellan teknisk säkerhet och mänskliga vanor. Även den bäst säkrade tjänsten kan inte skydda mot en situation där någon medvetet släpper in främmande programvara på sin telefon eftersom de tror det är samma app — bara från en annan källa. I vardagen bör man behandla sin smartphone mer som en plånbok än som en leksak.

Om någon på gatan erbjöd dig en ny officiell plånbok och bad dig flytta över dina kort till den, skulle du troligen avslå. Samma princip gäller för appar: om en länk till en påstådd WhatsApp inte kommer från Google Play eller App Store, bör du ignorera den — oavsett hur frestande den ser ut. Allt fler attacker kommer att utnyttja kända varumärken och betrodda tjänster, just eftersom de attraherar mest uppmärksamhet.

Kunskap om dessa mönster gör det lättare att känna igen manipulationsförsök. Och några få enkla, konsekventa vanor i samband med installation av appar kan skydda mot konsekvenserna av även mycket avancerade spionverktyg. Är det verkligen värt risken för hela telefonens säkerhet att klicka på en obekräftad länk?

Relaterade inlägg

Rulla till toppen