Koi Security'den siber güvenlik araştırmacıları, WhatsApp ile bağlantı kuran uygulamalar geliştiren veya kullanan herkes için önemli bir uyarı yaptı. Araştırmaları, hesapları ele geçirmek ve özel verileri çalmak için tasarlanmış popüler bir kod parçasını ortaya çıkardı.
Kötü amaçlı paket olan lotusbail, Mayıs 2025'ten bu yana 56,000'den fazla kez indirildi. Meşru görünmek için, arkasındaki geliştiriciler, @whiskeysockets/baileys adlı güvenilir bir kütüphaneden ilham alarak kodlarını kopyaladılar. Bu işlevsel örtü, şüphe olmadan altı ay boyunca geliştiriciler tarafından kurulmasına, test edilmesine ve dağıtılmasına neden oldu.
Aldatmanın Nasıl İşlediği
Koi Security araştırmacısı Tuval Admoni tarafından yazılan teknik rapora göre, kötü amaçlı yazılım canlı bir dinleme cihazı gibi çalışıyor. Sadece standart bağlantı kodunu çalıştırmak yerine, lotusbail iletişim kanalının etrafına gizli bir sarmalayıcı ekliyor (bilinen adıyla WebSocket). Bu, sessizce kopyalayıp müdahale etmesine olanak tanıyor:
- Özel Veriler: Tam iletişim listeleri, medya dosyaları ve hassas belgeler.
- Tam Geçmiş: Gönderilen veya alınan her mesaj, geçmiş ve güncel.
- Kimlik Doğrulama Jetonları: Şifresiz erişim sağlayan dijital anahtarlar.
Daha fazla araştırma, oldukça organize bir savunma mekanizması ortaya çıkardı. İzlerini gizlemek için, kötü amaçlı yazılım çalınan verileri karıştırmak için özel RSA şifrelemesi kullanıyor ve bu sayede ağ güvenlik araçlarının onu tespit etmesini engelliyor. Bilginiz olsun, meşru WhatsApp araçları buna ihtiyaç duymaz çünkü uygulama zaten kendi korumasını kullanıyor.
Uzmanlar için durumu daha da zorlaştırmak adına, programı incelemeye çalışan herhangi birini tespit ettiğinde anında dondurmak için tasarlanmış sonsuz döngülerden oluşan 27 farklı tuzak oluşturmuşlar.
Açık Kalan Arka Kapı
En korkutucu detay, saldırganların kalıcı erişimi nasıl sağladığıdır. Kurulum aşamasında, kötü amaçlı yazılım resmi WhatsApp eşleştirme sürecini ele geçiriyor. Geliştiricinin uygulamasını bağlamak yerine, gizlice bir hardcoded eşleştirme kodu kullanarak saldırganın kendi cihazını mağdurun hesabıyla bağlıyor.
Bu, tehdit aktörünün WhatsApp hesabınıza bir anahtar sahip olduğu anlamına geliyor. Bu kütüphaneyi kimlik doğrulamak için kullandığınızda, yalnızca uygulamanızı bağlamıyorsunuz - aynı zamanda tehdit aktörünün cihazını da bağlıyorsunuz. Onlar, WhatsApp hesabınıza tam ve sürekli erişime sahipler ve orada olduklarını bilmediğinizi Admoni açıkladı.
Bildiklerimiz gibi, bir cihaz WhatsApp’ınıza bağlandığında, orada kalır. lotusbail kodunu silseniz bile, saldırgan WhatsApp’ın kendi iç sistemi üzerinden oturum açmaya devam eder. Onları gerçekten çıkarmak için, telefonunuzdaki WhatsApp ayarlarına manuel olarak girip, Bağlı Cihazlar’ı seçmeli ve tanımadığınız oturumları kapatmalısınız.
Buradaki ders basit: çalışan bir kod güvenli değildir. Geleneksel güvenlik genellikle bu işlevsel tuzakları gözden kaçırır, bu nedenle bir araca özel verilerinize erişim izni vermeden önce her zaman kaynağını doğrulayın.
Uzman Yorumları:
Bu bulguları yansıtan DryRun Security CEO'su James Wickett, hackread.com ile görüşlerini paylaştı ve "Arka kapılar sadece başkalarının başına gelmez. Gerçek organizasyonlar içinde, genellikle ilk bakışta meşru görünen kodlar aracılığıyla gerçekleşir. Bazen kötü niyetli bir bağımlılık, bazen kopyalanmış veya yapay zeka tarafından üretilmiş kod, bazen de iç bir aktör güveni kötüye kullanır." dedi.
Geliştirme hızlandıkça, güvenlik ekiplerinin kod tabanına eklenenleri görebilmesi ve şüpheli davranışları erken tespit edebilmesi gerekiyor, böylece riskli değişiklikler, kimlik bilgisi hırsızlığı veya üretimde kalıcı erişim haline gelmeden önce gözden geçirilebilir, Wickett geliştiricilere ve güvenlik uzmanlarına tavsiyelerde bulundu.
