Yana WhatsApp: muayyan API orqali zararli kodlar vositasida yozishmalar "uxlatilmoqda"

O‘n minglab dasturchilar ishonchini qozongan mashhur WhatsApp kutubxonasi foydalanuvchilarning xabarlari, kontaktlari va hisobga kirish ma’lumotlarini zimdan kuzatib borgan hamda o‘chirib tashlanganidan keyin ham tizimga kirish imkoniyatini saqlab qolgan.

Olti oydan ko‘proq vaqt davomida WhatsApp Web API kutubxonasi niqobi ostidagi dasturiy paket dunyodagi eng yirik JavaScript paketlar reposi bo‘lmish npmda bemalol aylanib yurdi.

Biroq, Koi Security kiberxavfsizlik firmasi tadqiqotlari shuni ko‘rsatdiki, uning vazifaviy ko‘rinishi ortida WhatsApp hisob ma’lumotlarini o‘g‘irlash, butun yozishmalar tarixini nusxalash, kontaktlar ro‘yxatini yig‘ish va buzilgan hisoblarga doimiy, yashirin kirishni ta’minlashga qodir murakkab zararli dastur yashiringan.

"Lotusbail" deb nomlangan ushbu zararli paket yuklanganidan beri 56 000 martadan ortiq ko‘chirib olingan. Kutubxona o‘zini keng qo‘llaniladigan "@whiskeysockets/baileys" WhatsApp Web API kutubxonasining forki (mustaqil tarmog‘i) sifatida ko‘rsatgan.

Ushbu zararli dasturning e'tiborli jihati shundaki, u va'da qilinganidek ishlaydi. Uning vazifaviy kodi ushbu APIdan foydalanuvchi ilovalarga haqiqatan ham WhatsApp yozishmalarini yuborish va qabul qilish imkonini beradi.

Bu hujum muvaffaqiyatining kalitidir.

Haqiqatan foyda keltirgani sababli, "lotusbail" norasmiy ishonch tekshiruvlaridan o‘tib, "production" (ishchi) muhitlarga kirib bordi va u yerda o‘zining zararli faoliyatini sezdirmasdan amalga oshirish imkoniga ega bo‘ldi.

Soxta WhatsApp API nimalarni o‘g‘irlaydi:

• Tasdiqlov tokenlari va sessiya kalitlari

• Butun yozishmalar tarixi

• Telefon raqamlari bilan to‘liq kontaktlar ro‘yxati

• Media fayllar va hujjatlar

• WhatsApp hisobingizga doimiy yashirin kirish yo‘li (backdoor)

Aslida, ushbu paket WhatsAppning qonuniy WebSocket mijozini hujumchi tomonidan boshqariladigan qo‘shimcha qatlam bilan o‘rab olgan. Har bir o‘zaro ta’sir ushbu qobiq orqali o‘tadi.

Sahna ortida zararli dastur sessiya kalitlari va tasdiqlov tokenlarini tutib qoladi. Kiruvchi va chiquvchi xabarlar ushlanadi va nusxalanadi. Barcha ulashilgan media va kontakt ma’lumotlari ham yuklab olinadi.

Hujumchilarga yuborilishidan oldin o‘g‘irlangan ma’lumotlar maxsus RSA shifrlash usuli yordamida shifrlanadi.

Tadqiqotchilarning so‘zlariga ko‘ra, ushbu maxsus kriptografiya tarmoq kuzatuvi vositalarini chalg‘itadi va aniqlanishning oldini oladi.

Ma’lumotlarni qabul qiluvchi manzil serveri ataylab yashirilgan bo‘lib, bir necha qatlamli siqish, kodlash va shifrlash ortiga bekitilgan. Uning joylashuvi kodning hech bir joyida ochiq matn shaklida ko‘rinmaydi.

O‘chirilgandan keyin ham WhatsAppingizga kirish imkoniyati saqlanib qoladi

"Lotusbail" nafaqat maxfiy ma’lumotlarni o‘g‘irlaydi, balki qurbonlarning WhatsApp hisoblariga doimiy kirishni ham o‘rnatadi. WhatsApp juftlashtirish kodlari (pairing codes) yordamida bitta hisobga bir nechta qurilmalarni ulash imkonini beradi.

Zararli dastur paket ichiga oldindan yozilgan (hardcoded), shifrlangan juftlashtirish kodini joylashtirish orqali ushbu jarayonni egallab oladi va natijada hujumchining qurilmasini qurbonning qurilmasi bilan bog‘laydi.

Bu tajovuzkorga npm paketi ilovadan olib tashlanganidan keyin ham xabarlar, kontaktlar va media fayllarga uzluksiz kirish imkonini bermoqda.

APIni o‘chirib tashlash ushbu kirish huquqini bekor qilmaydi. Qurbonlar WhatsApp sozlamalariga kirib, barcha ulangan qurilmalarni mustaqil ravishda o‘chirishlari kerak, ammo ko‘pchilik ushbu chorani qanday amalga oshirishni ham bilmaydi.