МВД предупредило об уязвимости в WhatsApp
28.02.2025
Киберполиция РФ сообщила о проблемах безопасности мессенджера WhatsApp (принадлежит корпорации Meta, признанной в России экстремистской): в групповых чатах распространяют PDF-файл со встроенным шпионским ПО. Но если разобраться, проблема не настолько серьёзна, чтобы отказываться от сервиса.
Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ сообщает, что WhatsApp послужил способом распространения шпионского ПО Graphite. Жертвами атаки стали 90 журналистов и других представителей гражданского общества из более чем двух десятков государств, включая страны ЕС.
Graphite распространяли через заражённые PDF-файлы в групповых чатах. Заражение происходило автоматически; получателю не нужно было даже открывать файл.
WhatsApp удалось остановить распространение атаки. Всю информацию об инциденте направили в правоохранительные органы.
Шпионское ПО Graphite разрабатывает компания Paragon Solutions. На сайте указано, что она предоставляет «этичные инструменты для устранения трудноразрешимых угроз». Известно, что Graphite нередко закупают государственные органы для борьбы с преступностью и защиты национальной безопасности.
Graphite эксплуатирует уязвимости операционной системы для доступа к памяти и датчикам смартфона жертвы. В итоге виртуальный шпион может незаметно включать микрофон и камеру, получать геолокацию, отслеживать вводимые с клавиатуры символы и так далее. Эксплойт выполнен в формате zero-click, то есть устанавливается без участия атакуемого.
Ряд российских СМИ распространили предупреждение МВД, заявляя о массовых атаках. На самом деле от конкретно этого инцидента пострадали менее сотни человек, причём не случайных. Дело в том, что Graphite и аналогичные программы стоят очень дорого. Поэтому применять шпионское ПО такого класса против обычных пользователей WhatsApp не особо выгодно.
Куда важнее, что в популярном мессенджере есть уязвимость, которая позволила развернуть Graphite. С другой стороны, PDF-файлы нередко используются для распространения вредоносных программ. Причина кроется в сложной архитектуре этого формата, который подразумевает поддержку вложенных объектов, включая JavaScript-код.
Ранее мы информировали о новой фишинговой схеме, при которой так же использовался в PDF-файл.
Так как заражение происходит автоматически, без необходимости открытия файла, пользователям рекомендуется отключить в настройках WhatsApp автозагрузку документов, что значительно снизит риск получить вредоносный PDF от неизвестного контакта.