Hundredvis af brugere installerede spionageprogram uden at vide det
Hundredvis af personer downloadede en app, der udgav sig for at være WhatsApp, og installerede dermed ubevidst spyware på deres telefoner. Angrebet ramte primært Italien, men den samme metode kan ramme alle, der installerer programmer fra uofficielle kilder.
Selv om Italien var hårdest ramt, er selve angrepsmekanismen universel. Bag hele kampagnen står et firma inden for digital overvågning, og målet er lydløs spionage på smartphones.
Risikoen ved at installere apps uden for Google Play eller App Store er langt fra teoretisk. Cybersikkerhedseksperter advarer gentagne gange om, at tillid til et velkendt logo og appnavn hører til de hyppigste årsager til vellykkede angreb. I tilfældet med den falske WhatsApp satsede angriberne på brugernes psykologi og deres rutineprægede adfærd ved installation af nye programmer.
Sådan foregik angrebet med den falske WhatsApp
WhatsApp oplyste, at man identificerede omkring 200 konti, hvor en uofficiel, modificeret version af appen var blevet anvendt. Det store flertal af tilfælde vedrørte brugere fra Italien. Scenariet er forholdsvis enkelt: nogen modtager et link til en app, der ligner WhatsApp, ser det kendte logo og navn, og downloader derefter installationsfilen uden større mistanke.
Efter installation ser klienten udefra næsten identisk ud med den normale beskedapp. Forskellen gemmer sig i det usynlige: i baggrunden kører et spionagemodul, som får adgang til udvalgte data på telefonen. Det kan dreje sig om oplysninger om opkald, delvise beskeddata, kontakter, enhedsoplysninger eller netværksaktivitet.
Angrebet fungerer ved, at brugeren selv — i fuld overbevisning — installerer den skadelige app og giver den alle nødvendige tilladelser. Angriberne behøver ikke at bryde Android-systemets sikkerhed med magt, når de blot kan bede om nøglerne til fordøren.
Ved installation af en sådan app viser Android-systemet normalt en advarsel om installation fra en ukendt kilde. Mange overser dog denne advarsel eller opfatter den som en almindelig teknisk formalitet, der gælder alle apps uden for Google Play.
Hvad WhatsApp gjorde — og hvorfor det ikke er en fejl i appen selv
Da WhatsApps sikkerhedsafdeling opdagede kampagnen med den falske app, blev konti, der kunne have haft kontakt med den, afskåret fra tjenesten. Virksomheden underrettede indehaverne af disse numre og tvang dem til at logge ind igen med den officielle klient.
Repræsentanter for beskedtjenesten understreger, at end-to-end-krypteringen fungerer korrekt, og at den originale app ikke er blevet kompromitteret. Der blev heller ikke fundet nogen sikkerhedshuller i Metas infrastruktur. Problemet ligger udelukkende i, at en del brugere bevidst — omend uden kendskab til risikoen — installerede et eksternt program, der udgav sig for at være en velkendt tjeneste.
Med andre ord handlede angrebet ikke om at bryde WhatsApps sikkerhed. I stedet udnyttede det det faktum, at man på Android manuelt kan installere apps uden for Google Play, blot ved at acceptere yderligere samtykker i indstillingerne.
WhatsApps officielle app er gratis tilgængelig i både Google Play og App Store. Der er ingen grund til, at en bruger skulle søge alternative downloadkilder. Alle links, der fører et andet sted hen end til de officielle butikker, bør betragtes som mistænkelige.
Hvem står bag kampagnen med den falske app
WhatsApp peger på et italiensk firma inden for digital overvågning, der opererer under navnet SIO via datterselskabet Asigint. Virksomheden angives at specialisere sig i overvågnings- og dataindsamlingsteknologier, som den ofte sælger til offentlige institutioner, sikkerhedsmyndigheder eller private opdragsgivere.
Meta, som ejer WhatsApp, har varslet juridiske skridt med henblik på at stoppe denne aktivitet. Det er ikke første gang, beskedtjenesten kæmper mod leverandører af spyware. I de foregående år har den allerede advaret journalister, aktivister og repræsentanter for nonprofitorganisationer, der var mål for lignende værktøjer. Disse sager har ikke sjældent ført til markante opsigelser af kontrakter med virksomheder, der leverer sådanne overvågningssystemer.
Branchen for kommercielt spyware begrænser sig ikke til enkelte aktører. Der eksisterer hele økosystemer af firmaer, der tilbyder komplette digitale overvågningstjenester. Mange præsenterer sig selv som sikkerhedspartnere eller udbydere af lovlig overvågning.
Eksperter advarer om, at denne sektor vokser hurtigt, og at dens værktøjer bliver mere tilgængelige. Mens lignende teknologier tidligere primært blev brugt af efterretningstjenester, kan de i dag anskaffes af mindre aktører eller privatpersoner med tilstrækkelige økonomiske midler.
Hvorfor brugere falder for falske apps
Angriberne behøver ikke dybdegående kendskab til sikkerhedshuller i systemer. De fokuserer på psykologien. I tilfældet med den falske WhatsApp virker flere elementer typisk på én gang: travlhed, tillid til afsenderen af linket, det kendte logo og navn — kombineret med løftet om ekstra funktioner eller en forbedret version af appen.
I praksis gør folk ofte følgende:
- klikker på et link sendt via e-mail, SMS eller en beskedapp
- accepterer advarslen om installation fra en ukendt kilde, fordi “det har alle jo”
- giver appen brede tilladelser, fordi den ellers ikke vil virke
- stoler på det kendte logo og navn uden at verificere kilden
- lader sig friste af løftet om eksklusive funktioner eller en hurtigere version
- installerer appen på anbefaling fra en ven, der selv allerede er blevet inficeret
Dette scenarie gælder ikke kun WhatsApp. Tilsvarende kampagner udnytter falske versioner af mobilbanking-apps, beskedtjenester, offentlige apps eller fjernarbejdsværktøjer. Illusionen om officialitet er meget stærk, særligt når linket videresendes af en bekendt, der selv tidligere er blevet inficeret.
Cyberkriminelle bryder sjældnere ind ad de stærkt sikrede bagdøre — de beder i stedet om, at nogen åbner hoveddøren på vid gab og inviterer dem indenfor. Social engineering-metoder er i dag langt mere effektive end tekniske angreb på systemsikkerhed.
Sådan genkender og undgår du falsk WhatsApp
WhatsApp minder i den forbindelse om et grundlæggende princip: apps downloades udelukkende fra officielle butikker — Google Play, App Store eller fra producentens officielle hjemmeside, hvis der er tale om pc-programmer. Enhver afvigelse fra denne regel øger risikoen for installation af skadelig software.
Hvis nogen mistænker, at de kan have installeret en falsk version af WhatsApp, bør de hurtigst muligt afinstallere den uofficielle app. Derefter er det klogt at scanne enheden med et verificeret antivirusværktøj og ændre adgangskoder til de vigtigste tjenester som e-mail, netbank og sociale medier.
Det er desuden nødvendigt at kontrollere, om der er dukket nye, ukendte profiler eller administrator-apps op i systemet. Nogle spionageprogrammer forsøger nemlig at opnå administratorrettigheder, hvilket gør dem sværere at afinstallere.
De præcise konsekvenser afhænger af det konkrete værktøj, de givne tilladelser og telefonmodellen. I mange tilfælde kan et sådant program indsamle metadata knyttet til kommunikation: hvornår, med hvem og hvor ofte brugeren kommunikerer — og til tider opfange indhold uden for det beskyttede krypteringslag.
Hvis spyware opnår adgang til enhedens hukommelse eller notifikationer, kan det få indblik i fragmenter af samtaler, skærmbilleder, kontaktlister og login-tokens til andre apps. Det åbner vejen til yderligere misbrug, eksempelvis overtagelse af konti på sociale medier eller adgang til finansielle tjenester.
Hvorfor teknisk omhu alene ikke er nok
Sagen med den falske WhatsApp illustrerer forskellen mellem teknisk sikkerhed og menneskelige vaner. Selv den bedst sikrede tjeneste kan ikke beskytte mod en situation, hvor nogen bevidst lukker fremmed software ind på sin telefon, fordi vedkommende tror, det er den samme app — blot fra en anden kilde.
I den daglige brug af telefonen er det værd at behandle sin smartphone mere som en pung end som et legetøj. Hvis nogen på gaden rakte dig en ny officiel pung og bad dig lægge dine kort over i den, ville du sandsynligvis afslå. Det samme princip bør gælde for apps: hvis et link til en angiveligt officiel WhatsApp ikke stammer fra Google Play eller App Store, så ignorer det — uanset hvor overbevisende det ser ud.
Stadig flere angreb vil udnytte kendte mærker og betroede tjenester, fordi de tiltrækker størst opmærksomhed. Kendskab til disse scenarier gør det lettere at genkende manipulationsforsøg. Og nogle få enkle, konsekvente vaner ved installation af apps kan beskytte mod selv de mest avancerede spionageværktøjers konsekvenser.
