Fejk WhatsApp-app spionerar på användare – över 200 offer hittills

Hundratals användare installerade spionprogram utan att veta om det

Hundratals personer laddade ner en app som utgav sig för att vara WhatsApp och installerade därmed omedvetet spionprogram på sina telefoner. Attacken drabbade främst Italien, men samma metod kan drabba alla som installerar program från inofficiella källor.

Trots att Italien drabbades hårdast är själva angreppsmekanismen universell. Bakom hela kampanjen står ett företag inom digital övervakning, och målet är ljudlös spionage på smartphones.

Risken med att installera appar utanför Google Play eller App Store är långt ifrån teoretisk. Cybersäkerhetsexperter varnar upprepade gånger för att förtroende för en välkänd logotyp och ett appnamn hör till de vanligaste orsakerna till lyckade attacker. I fallet med den falska WhatsApp satsade angriparna på användarnas psykologi och deras rutinmässiga beteende vid installation av nya program.

Så gick attacken med den falska WhatsApp till

WhatsApp uppgav att man identifierade omkring 200 konton där en inofficiell, modifierad version av appen hade använts. Den stora majoriteten av fallen gällde användare från Italien. Scenariot är relativt enkelt: någon får en länk till en app som liknar WhatsApp, ser den välkända logotypen och namnet, och laddar därefter ner installationsfilen utan större misstankar.

Efter installationen ser klienten utifrån nästan identisk ut med den normala meddelandeappen. Skillnaden döljer sig i det osynliga: i bakgrunden körs en spionmodul som får tillgång till utvalda data på telefonen. Det kan röra sig om information om samtal, partiella meddelandedata, kontakter, enhetsinformation eller nätverksaktivitet.

Attacken fungerar genom att användaren själv — i full övertygelse — installerar den skadliga appen och ger den alla nödvändiga tillstånd. Angriparna behöver inte bryta Android-systemets säkerhet med våld när de bara kan be om nycklarna till ytterdörren.

Vid installation av en sådan app visar Android-systemet normalt en varning om installation från okänd källa. Många förbiser dock denna varning eller uppfattar den som en vanlig teknisk formalitet som gäller alla appar utanför Google Play.

Vad WhatsApp gjorde — och varför det inte är ett fel i själva appen

När WhatsApps säkerhetsavdelning upptäckte kampanjen med den falska appen stängdes konton som kunde ha haft kontakt med den av från tjänsten. Företaget underrättade innehavarna av dessa nummer och tvingade dem att logga in igen med den officiella klienten.

Representanter för meddelandetjänsten understryker att end-to-end-krypteringen fungerar korrekt och att den ursprungliga appen inte har komprometterats. Inga säkerhetshål hittades heller i Metas infrastruktur. Problemet ligger uteslutande i att en del användare medvetet — om än utan kännedom om risken — installerade ett externt program som utgav sig för att vara en välkänd tjänst.

Med andra ord handlade attacken inte om att bryta WhatsApps säkerhet. Istället utnyttjade den det faktum att man på Android manuellt kan installera appar utanför Google Play genom att helt enkelt acceptera ytterligare samtycken i inställningarna.

WhatsApps officiella app är gratis tillgänglig i både Google Play och App Store. Det finns ingen anledning för en användare att söka alternativa nedladdningskällor. Alla länkar som leder någon annanstans än till de officiella butikerna bör betraktas som misstänkta.

Vem står bakom kampanjen med den falska appen

WhatsApp pekar på ett italienskt företag inom digital övervakning som opererar under namnet SIO via dotterbolaget Asigint. Företaget uppges specialisera sig på övervaknings- och datainsamlingsteknologier som det ofta säljer till offentliga institutioner, säkerhetsmyndigheter eller privata uppdragsgivare.

Meta, som äger WhatsApp, har aviserat juridiska åtgärder i syfte att stoppa denna verksamhet. Det är inte första gången som meddelandetjänsten kämpar mot leverantörer av spionprogram. Under tidigare år har den redan varnat journalister, aktivister och representanter för ideella organisationer som varit mål för liknande verktyg. Dessa fall har inte sällan lett till markanta uppsägningar av kontrakt med företag som levererar sådana övervakningssystem.

Branschen för kommersiellt spionprogram begränsar sig inte till enstaka aktörer. Det existerar hela ekosystem av företag som erbjuder kompletta digitala övervakningstjänster. Många presenterar sig själva som säkerhetspartners eller leverantörer av laglig övervakning.

Experter varnar för att denna sektor växer snabbt och att dess verktyg blir mer tillgängliga. Medan liknande teknologier tidigare främst användes av underrättelsetjänster kan de idag anskaffas av mindre aktörer eller privatpersoner med tillräckliga ekonomiska resurser.

Varför användare faller för falska appar

Angriparna behöver inte djupgående kunskap om säkerhetshål i system. De fokuserar på psykologin. I fallet med den falska WhatsApp verkar flera element typiskt samtidigt: stress, förtroende för avsändaren av länken, den välkända logotypen och namnet — kombinerat med löftet om extrafunktioner eller en förbättrad version av appen.

I praktiken gör människor ofta följande:

• klickar på en länk som skickats via e-post, SMS eller en meddelandeapp
• accepterar varningen om installation från okänd källa eftersom ”alla gör ju det”
• ger appen omfattande tillstånd eftersom den annars inte fungerar
• litar på den välkända logotypen och namnet utan att verifiera källan
• låter sig lockas av löftet om exklusiva funktioner eller en snabbare version
• installerar appen på rekommendation från en vän som själv redan blivit infekterad

Detta scenario gäller inte bara WhatsApp. Motsvarande kampanjer utnyttjar falska versioner av mobilbank-appar, meddelandetjänster, offentliga appar eller verktyg för distansarbete. Illusionen av officialitet är mycket stark, särskilt när länken vidarebefordras av en bekant som själv tidigare blivit infekterad.

Cyberkriminella bryter sällan in genom de väl säkrade bakdörrarna — de ber istället om att någon öppnar ytterdörren på vid gavel och bjuder in dem. Metoder för social manipulation är idag långt mer effektiva än tekniska angrepp på systemsäkerhet.

Så känner du igen och undviker falsk WhatsApp

WhatsApp påminner i sammanhanget om en grundläggande princip: appar laddas ner uteslutande från officiella butiker — Google Play, App Store eller från tillverkarens officiella webbplats om det rör sig om datorprogram. Varje avvikelse från denna regel ökar risken för installation av skadlig programvara.

Om någon misstänker att de kan ha installerat en falsk version av WhatsApp bör de snarast avinstallera den inofficiella appen. Därefter är det klokt att skanna enheten med ett verifierat antivirusverktyg och ändra lösenord till de viktigaste tjänsterna som e-post, nätbank och sociala medier.

Det är dessutom nödvändigt att kontrollera om nya, okända profiler eller administrator-appar dykt upp i systemet. Vissa spionprogram försöker nämligen att erhålla administratörsrättigheter, vilket gör dem svårare att avinstallera.

De exakta konsekvenserna beror på det konkreta verktyget, de givna tillstånden och telefonmodellen. I många fall kan ett sådant program samla in metadata kopplade till kommunikation: när, med vem och hur ofta användaren kommunicerar — och ibland fånga upp innehåll utanför det skyddade krypteringslagret.

Om spionprogram får tillgång till enhetens minne eller notifikationer kan det få insyn i fragment av samtal, skärmdumpar, kontaktlistor och inloggnings-tokens till andra appar. Det öppnar vägen till ytterligare missbruk, exempelvis övertagande av konton på sociala medier eller tillgång till finansiella tjänster.

Varför teknisk noggrannhet ensam inte räcker

Fallet med den falska WhatsApp illustrerar skillnaden mellan teknisk säkerhet och mänskliga vanor. Även den bäst säkrade tjänsten kan inte skydda mot en situation där någon medvetet släpper in främmande mjukvara på sin telefon eftersom vederbörande tror att det är samma app — bara från en annan källa.

I det dagliga bruket av telefonen är det värt att behandla sin smartphone mer som en plånbok än som en leksak. Om någon på gatan räckte dig en ny officiell plånbok och bad dig lägga över dina kort i den skulle du förmodligen tacka nej. Samma princip bör gälla för appar: om en länk till en påstått officiell WhatsApp inte kommer från Google Play eller App Store, ignorera den — oavsett hur övertygande den ser ut.

Alltfler attacker kommer att utnyttja kända varumärken och betrodda tjänster eftersom de drar till sig störst uppmärksamhet. Kännedom om dessa scenarier gör det lättare att känna igen manipulationsförsök. Och några få enkla, konsekventa vanor vid installation av appar kan skydda mot även de mest avancerade spionverktygens konsekvenser.