Hundredvis af brugere installerede ubevidst spyware
Hundredvis af mennesker hentede en app, der udgav sig for at være WhatsApp, og installerede uden at vide det et spionageprogram på deres telefon. Angrebet ramte primært Italien, men den samme metode kan ramme enhver, der installerer apps uden for de officielle app-butikker.
Selvom Italien var hårdest ramt, er angrebet universelt i sin natur og kan i princippet ramme alle, der henter programmer fra uofficielle kilder. Bag hele kampagnen står et firma inden for digital overvågning, hvis mål er skjult spionage mod smartphones.
Risikoen ved at installere apps uden for Google Play eller App Store er langt fra teoretisk. Cybersikkerhedseksperter advarer gentagne gange om, at netop tilliden til kendte logoer og appnavne er en af de hyppigste årsager til vellykkede angreb. I dette tilfælde spillede angriberne bevidst på brugernes psykologi og deres rutineprægede adfærd, når de installerer nye programmer.
Meta, som ejer WhatsApp, bekræftede, at virksomheden havde identificeret en kampagne, der benyttede en modificeret version af beskedtjenesten. De berørte brugere installerede selv appen i den tro, at der var tale om en officiel eller forbedret udgave af tjenesten. WhatsApps krypteringsmekanismer forblev intakte – problemet lå udelukkende i den menneskelige faktor.
Sådan foregik angrebet med den falske WhatsApp
WhatsApp oplyste, at virksomheden identificerede omkring 200 konti, hvor en uofficiel og modificeret version af appen var blevet anvendt. Langt størstedelen af tilfældene involverede brugere fra Italien. Fremgangsmåden er relativt enkel: man modtager et link til en app, der ligner WhatsApp, ser det velkendte logo og navn og downloader installationsfilen uden at nære større mistanke.
Når appen er installeret, ser den udefra næsten identisk ud med den rigtige beskedtjeneste. Forskellen gemmer sig i det, man ikke kan se: i baggrunden kører et spionagemodul, der skaffer sig adgang til udvalgte data på telefonen. Det kan dreje sig om oplysninger om opkald, dele af samtaler, kontakter, enhedsdata eller aktivitet på netværket.
Angrebet er bygget op om, at brugeren selv — og med fuld overbevisning — installerer den skadelige app og giver den alle nødvendige tilladelser. Angriberne behøver ikke at bryde Androids sikkerhedssystem med magt, når de i stedet kan bede om nøglerne til hoveddøren.
Under installationen viser Android normalt en advarsel om installation fra en ukendt kilde. Mange brugere overser imidlertid denne advarsel eller opfatter den som en ligegyldig teknisk formalitet, der gælder for alle apps uden for Google Play.
Hvad WhatsApp gjorde, og hvorfor det ikke er en fejl i selve appen
Da WhatsApps sikkerhedsteam opdagede kampagnen, der udnyttede den falske app, blev de berørte konti afskåret fra tjenesten. Virksomheden kontaktede ejerne af disse numre og tvang dem til at logge ind igen via den officielle klient.
Repræsentanter for beskedtjenesten understregede, at end-to-end-krypteringen fungerer korrekt, og at den originale app ikke er blevet kompromitteret. Der blev heller ikke fundet nogen sikkerhedshuller i Metas infrastruktur. Problemet skyldes udelukkende, at nogle brugere bevidst — om end uden kendskab til risikoen — installerede et eksternt program, der udgav sig for at være en velkendt tjeneste.
Med andre ord handlede angrebet ikke om at bryde igennem WhatsApps sikkerhed. Det udnyttede i stedet det faktum, at man på Android manuelt kan installere apps uden for Google Play, blot ved at acceptere visse ekstra tilladelser i indstillingerne.
Den officielle WhatsApp-app er gratis tilgængelig i både Google Play og App Store. Der er ingen grund til, at en bruger skulle søge efter alternative downloadkilder. Alle links, der fører andetsteds hen end til de officielle butikker, bør betragtes med stor skepsis.
Hvem står bag kampagnen med den falske app
WhatsApp peger på et italiensk firma inden for digital overvågning, der opererer under navnet SIO via datterselskabet Asigint. Virksomheden menes at specialisere sig i overvågningsteknologi og dataindsamling, som den typisk sælger til offentlige institutioner, sikkerhedsmyndigheder eller private opdragsgivere.
Meta, der ejer WhatsApp, har annonceret juridiske skridt med det formål at bringe denne aktivitet til ophør. Det er ikke første gang, at beskedtjenesten bekæmper leverandører af spionagesoftware. I de foregående år advarede virksomheden journalister, aktivister og repræsentanter for nonprofitorganisationer, der var mål for lignende værktøjer. Disse sager førte ikke sjældent til højlydte annulleringer af kontrakter med firmaer, der leverede sådanne overvågningssystemer.
Industrien for kommerciel spionagesoftware er ikke begrænset til enkeltvirksomheder. Der eksisterer hele økosystemer af firmaer, som tilbyder komplette digitale overvågningstjenester. Mange af dem præsenterer sig selv som sikkerhedspartnere eller udbydere af lovlig overvågning.
Eksperter advarer om, at denne sektor vokser hurtigt, og at dens værktøjer bliver stadig mere tilgængelige. Mens den slags teknologi tidligere primært blev anvendt af efterretningstjenester, kan den i dag også anskaffes af mindre aktører eller privatpersoner med tilstrækkelige økonomiske midler.
Hvorfor brugere falder i fælden med falske apps
Angriberne behøver ikke dybdegående viden om sikkerhedshuller i operativsystemer. De fokuserer i stedet på psykologi. I tilfældet med den falske WhatsApp spiller flere elementer typisk sammen på én gang: tidspres, tillid til afsenderen af linket, det kendte logo og navn — samt løftet om ekstra funktioner eller en forbedret version af appen.
I praksis sker det ofte, at folk:
- klikker på et link modtaget via e-mail, SMS eller en beskedtjeneste
- accepterer advarslen om installation fra en ukendt kilde, fordi “det jo gælder for alle”
- giver appen brede tilladelser, fordi den ellers ikke vil virke
- stoler på et velkendt logo og navn uden at tjekke kilden
- lader sig friste af løftet om eksklusive funktioner eller en hurtigere version
- installerer appen på anbefaling fra en ven, der selv er blevet inficeret
Dette scenarie begrænser sig ikke til WhatsApp. Lignende kampagner udnytter falske versioner af mobilbank-apps, beskedtjenester, offentlige apps eller fjernarbejdsværktøjer. Illusionen om officialitet er meget stærk, særligt når linket sendes af en bekendt, der selv tidligere er blevet inficeret.
Cyberkriminelle bryder sjældnere igennem tunge sikkerhedsdøre i dag — de beder i stedet om at blive lukket ind med åbne arme. Metoder baseret på social engineering er i dag langt mere effektive end tekniske angreb på systemsikkerheden.
Sådan genkender og undgår du en falsk WhatsApp
WhatsApp minder i den forbindelse om en grundlæggende regel: apps hentes udelukkende fra officielle butikker — Google Play, App Store eller producentens officielle hjemmeside, hvis der er tale om en computerapp. Enhver afvigelse fra denne regel øger risikoen for at installere skadelig software.
Hvis man mistænker, at man kan have installeret en falsk version af WhatsApp, bør man hurtigst muligt afinstallere den ikke-standard app. Derefter er det fornuftigt at scanne enheden med et anerkendt antivirusprogram og skifte adgangskoder til de vigtigste tjenester som e-mail, netbank og sociale medier.
Det er desuden vigtigt at kontrollere, om der er dukket nye, ukendte profiler eller administrator-apps op i systemet. Visse spionageprogrammer forsøger nemlig at opnå administratorrettigheder, hvilket gør dem sværere at afinstallere.
De præcise konsekvenser afhænger af det konkrete værktøj, de tildelte tilladelser og telefonmodellen. I mange tilfælde kan et sådant program indsamle metadata knyttet til kommunikation: hvornår, med hvem og hvor ofte brugeren kommunikerer — og i visse tilfælde opfange indhold uden for det krypterede lag.
Hvis spyware opnår adgang til enhedens lager eller notifikationer, kan det kigge ind i fragmenter af samtaler, skærmbilleder, kontaktlister og logintoken til andre apps. Det åbner vejen for yderligere misbrug, eksempelvis overtagelse af konti på sociale medier eller adgang til finansielle tjenester.
Derfor er teknisk sikkerhed alene ikke nok
Sagen med den falske WhatsApp illustrerer forskellen mellem teknisk sikkerhed og menneskelige vaner. Selv den bedst sikrede tjeneste kan ikke beskytte mod en situation, hvor nogen bevidst lukker fremmed software ind på sin telefon, fordi vedkommende tror, det er den samme app blot fra en anden kilde.
I daglig brug er det værd at behandle sin smartphone mere som en pung end som et legetøj. Hvis nogen på gaden rakte dig en ny officiel pung og bad dig flytte dine kort over i den, ville du sandsynligvis afvise. Med apps bør man handle på samme måde: hvis et link til en angiveligt officiel WhatsApp ikke stammer fra Google Play eller App Store, skal det ignoreres — uanset hvor fristende det ser ud.
Stadig flere angreb vil i fremtiden udnytte kendte mærker og pålidelige tjenester, netop fordi de tiltrækker mest opmærksomhed. Kendskab til disse scenarier gør det lettere at gennemskue et manipulationsforsøg. Og nogle få enkle, konsekvente vaner ved installation af apps kan beskytte selv mod de mest avancerede spionageværktøjer.
