🥷❗️Как шпионское ПО от Paragon проникало в устройства жертв через 📲Whatsapp?

20 марта 2025 г.Russian OSINT
🥷❗️Как шпионское ПО от Paragon проникало в устройства жертв через 📲Whatsapp? | 🔁 Новости из телеграм - Ghostbase News

🥷❗️Как шпионское ПО от Paragon проникало в устройства жертв через 📲Whatsapp?

Появились новые подробности от Citizenlab и Джона Скотт-Рейлтона по поводу шпионского ПО Graphite от Paragon.

Атака на WhatsApp с использованием шпионского ПО Paragon, известного как Graphite, представляет собой атаку нулевого клика (zero-click), при которой жертве не нужно выполнять никаких действий, чтобы её устройство было взломано. Специалисты Citizenlab утверждают, что атака выглядит примерно следующим образом:

1️⃣ Заражение могло происходить через отправление PDF в WhatsApp-группу. Атакующий добавляет жертву в группу и отправляет вредоносный PDF. Либо жертва и хакер уже находятся в одной группе.

2️⃣ Или заражение могло происходить через личное сообщение с отправлением PDF. Потом сообщение удаляется, якобы случайно кто-то ошибся.

3️⃣ Жертве не требовалось открывать какой-либо 📄файл или совершать другие действия.

4️⃣ Уязвимость в механизме обработки PDF-документов в WhatsApp могла автоматически приводить к выполнению вредоносного кода.

5️⃣ Шпионское ПО Paragon выходит за пределы изолированной среды Android (sandbox escape) и может заражать другие приложения на устройстве.

🕷Чем опасен этот метод атаки?

💠Жертве не нужно предпринимать никаких действий, чтобы устройство было заражено (zero-click exploit).

💠Шпионское ПО получает доступ к зашифрованным данным WhatsApp.

💠Атака может оставаться незамеченной долгое время, поскольку Graphite интегрируется в уже существующие процессы.

💠Выход за пределы WhatsApp. Шпионское ПО может затронуть другие приложения и сервисы.

🔍Почему Citizenlab убеждены в том, что к этому заражению причастна компания Paragon?

1️⃣ Цепочка инфраструктуры и фингерпринтинг

🔻 Citizen Lab идентифицировали серверную инфраструктуру, связанную с Paragon.

🔻 В рамках этой сети были найдены цифровые сертификаты, включая сертификат с именем "Graphite".

🔻 Анализ Fingerprint P1 и поиск по базе Censys выявил 150 связанных сертификатов.

🔻 Примерно половина из них активно использовалась на IP-адресах.

🔻 Часть этих сертификатов была связана с IP-адресами в Израиле, где базируется Paragon.

2️⃣ Методология атаки совпадает с описанными возможностями Graphite

🔻 Graphite не берет полный контроль над устройством, как Pegasus, а инфильтрирует мессенджеры.

🔻 WhatsApp был заражен, а затем шпионское ПО распространялось на другие приложения. Cовпадает с техническим описанием Graphite.

🔻 В ходе анализа зараженных устройств был обнаружен артефакт BIGPRETZEL, который был идентифицирован как уникальный признак заражения Graphite.

3️⃣ BIGPRETZEL – индикатор заражения Graphite

🔻 Исследователи нашли уникальный цифровой артефакт BIGPRETZEL в памяти зараженных устройств.

🔻 Этот же артефакт WhatsApp подтвердил как признак заражения Graphite.

4️⃣ Признания Paragon и их действия после утечки

🔻 После публикации расследования Paragon не отрицал причастность, а лишь заявил, что в отчете есть «неточности», но отказался их уточнить.

🔻 Paragon разорвал контракты с итальянскими клиентами сразу после публикации расследования.

✅Уязвимость была исправлена Whatsapp без необходимости действий со стороны пользователей. После этого компания уведомила около 90 пользователей из более чем 20 стран, включая журналистов и активистов, о том, что они могли стать жертвами этой атаки.

👆 Некоторые уже задумались сделать ограничение на добавление себя в группы. ​

✋ @Russian_OSINT

Ссылка на постВ канал