Команда безопасности WhatsApp выявила и устранила критическую уязвимость нулевого дня, которая активно эксплуатировалась для распространения шпионского ПО Graphite, разработанного израильской компанией Paragon Solutions Ltd. Данная брешь позволяла злоумышленникам осуществлять атаки типа zero-click для автоматической установки вредоносного ПО на устройства пользователей.
Механизм атаки и масштаб угрозы
По данным исследователей Citizen Lab, атакующие использовали сложную схему компрометации устройств. Злоумышленники добавляли потенциальных жертв в группы WhatsApp и отправляли специально сформированный PDF-файл, который при автоматической обработке устройством активировал эксплуатацию уязвимости нулевого дня. В результате на устройство загружалось шпионское ПО Graphite, способное преодолевать защитную песочницу Android и получать доступ к другим приложениям.
Масштабная инфраструктура и государственные связи
В ходе расследования эксперты Citizen Lab обнаружили обширную серверную инфраструктуру Paragon, включающую более 150 цифровых сертификатов и десятки IP-адресов. Исследователи выявили связи компании с государственными заказчиками из нескольких стран, включая Австралию, Канаду, Кипр, Данию, Израиль и Сингапур. Примечательно, что инфраструктура имела характерные признаки, схожие с другими известными платформами для кибернаблюдения.
Реакция WhatsApp и защита пользователей
После обнаружения угрозы WhatsApp оперативно устранила уязвимость в конце 2024 года, причем исправление не потребовало обновления клиентских приложений. Компания уведомила около 90 пользователей Android из 20 стран, включая журналистов и активистов, о потенциальной компрометации их устройств. Для обнаружения следов заражения на устройствах Android специалисты рекомендуют искать артефакт под названием BIGPRETZEL в системных логах.
Этот инцидент подчеркивает растущую угрозу со стороны коммерческого шпионского ПО и важность постоянного совершенствования механизмов защиты пользовательских данных. WhatsApp продолжает активную борьбу с подобными угрозами, подтверждая свою приверженность защите конфиденциальности пользователей и призывая к усилению контроля над разработчиками инструментов для кибернаблюдения.