Graphite тайно проникал в смартфоны жертв через обычные PDF-документы.
WhatsApp устранила уязвимость нулевого дня, использовавшуюся для установки шпионского ПО Paragon Graphite, после сообщений исследователей из Citizen Lab при Университете Торонто.
Компания закрыла вектор атаки ещё в конце прошлого года без необходимости в обновлении со стороны пользователей. Было решено не присваивать уязвимости идентификатор CVE, так как это не соответствовало рекомендациям MITRE и внутренним стандартам WhatsApp.
Представители сервиса сообщили, что они уведомили пострадавших пользователей, включая журналистов и активистов, о том, что их устройства могли подвергнуться взлому. WhatsApp также подчеркнул важность привлечения к ответственности компаний, занимающихся разработкой шпионского ПО.
31 января, после устранения эксплойта, WhatsApp предупредил около 90 пользователей Android из более чем двух десятков стран, среди которых были журналисты и активисты из Италии. Уязвимость позволяла злоумышленникам загружать шпионское ПО Graphite на устройства жертв без их ведома. Атака начиналась с добавления цели в группу WhatsApp и отправки PDF-файла, который автоматически обрабатывался системой и приводил к установке вредоносного импланта.
После заражения Graphite получал доступ к другим приложениям на устройстве, обходя механизмы защиты Android. В результате злоумышленники могли перехватывать сообщения жертв, прослушивать звонки и собирать конфиденциальные данные. Эксперты из Citizen Lab выявили характерный артефакт BIGPRETZEL, который может помочь в обнаружении заражения, однако отсутствие следов в логах не гарантирует, что устройство не подверглось атаке.
Исследователи также проанализировали инфраструктуру Paragon, используемую для доставки вредоносного ПО, и обнаружили возможные связи с правительственными структурами нескольких стран, включая Австралию, Канаду, Кипр, Данию, Израиль и Сингапур. Исследование доменов, цифровых сертификатов и IP-адресов позволило выявить 150 сертификатов, связанных с десятками серверов управления.
Часть этой инфраструктуры, вероятно, арендована Paragon или его клиентами, другая часть может находиться в распоряжении самих государственных заказчиков. В частности, на серверах были обнаружены ссылки на «Paragon», а также сертификаты, содержащие название «Graphite» и термин «installerserver» — аналогично тому, как конкурирующее ПО Pegasus использует «Installation Server» для заражения устройств.
Компания Paragon Solutions Ltd. была основана в 2019 году бывшим премьер-министром Израиля Эхудом Бараком и экс-командиром израильского подразделения 8200 Эхудом Шнеорсоном. В декабре 2024 года её приобрела американская инвестиционная группа AE Industrial Partners.
Paragon утверждает, что продаёт свои технологии только правоохранительным и разведывательным органам демократических стран для борьбы с преступностью. Однако ряд случаев свидетельствует о том, что Graphite мог использоваться в ситуациях, не связанных с его заявленными целями, включая слежку за журналистами и активистами. Это вызывает вопросы о том, насколько строго контролируется применение данного шпионского ПО.