МВД предупредило об уязвимости в WhatsApp
28.02.2025

Киберполиция РФ сообщила о проблемах безопасности мессенджера WhatsApp (принадлежит корпорации Meta, признанной в России экстремистской): в групповых чатах распространяют PDF-файл со встроенным шпионским ПО. Но если разобраться, проблема не настолько серьёзна, чтобы отказываться от сервиса.

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ сообщает, что WhatsApp послужил способом распространения шпионского ПО Graphite. Жертвами атаки стали 90 журналистов и других представителей гражданского общества из более чем двух десятков государств, включая страны ЕС.

Graphite распространяли через заражённые PDF-файлы в групповых чатах. Заражение происходило автоматически; получателю не нужно было даже открывать файл.

WhatsApp удалось остановить распространение атаки. Всю информацию об инциденте направили в правоохранительные органы.

WhatsApp

Шпионское ПО Graphite разрабатывает компания Paragon Solutions. На сайте указано, что она предоставляет «этичные инструменты для устранения трудноразрешимых угроз». Известно, что Graphite нередко закупают государственные органы для борьбы с преступностью и защиты национальной безопасности.

Graphite эксплуатирует уязвимости операционной системы для доступа к памяти и датчикам смартфона жертвы. В итоге виртуальный шпион может незаметно включать микрофон и камеру, получать геолокацию, отслеживать вводимые с клавиатуры символы и так далее. Эксплойт выполнен в формате zero-click, то есть устанавливается без участия атакуемого.

Ряд российских СМИ распространили предупреждение МВД, заявляя о массовых атаках. На самом деле от конкретно этого инцидента пострадали менее сотни человек, причём не случайных. Дело в том, что Graphite и аналогичные программы стоят очень дорого. Поэтому применять шпионское ПО такого класса против обычных пользователей WhatsApp не особо выгодно.

Куда важнее, что в популярном мессенджере есть уязвимость, которая позволила развернуть Graphite. С другой стороны, PDF-файлы нередко используются для распространения вредоносных программ. Причина кроется в сложной архитектуре этого формата, который подразумевает поддержку вложенных объектов, включая JavaScript-код.

Ранее мы информировали о новой фишинговой схеме, при которой так же использовался в PDF-файл.

Так как заражение происходит автоматически, без необходимости открытия файла, пользователям рекомендуется отключить в настройках WhatsApp автозагрузку документов, что значительно снизит риск получить вредоносный PDF от неизвестного контакта.