A támadás módszerei
A Koi Security kutatói megállapították, hogy a lotusbail-csomag képes ellopni a WhatsApp hitelesítő tokenjeit, munkamenetkulcsait és minden bejövő, illetve kimenő üzenetet rögzít. Emellett elcseni a névjegyeket, médiafájlokat és dokumentumokat is. Minden adat először a csomag által manipulált socketen keresztül halad át, így a hitelesítő adatok, üzenetek és elküldött fájlok a támadóknál kötnek ki. Az összegyűjtött információkat többrétegű titkosítással védik: RSA, LZString-tömörítés, Unicode-trükkök, majd AES-titkosítás után küldik el azokat.
Tartós hozzáférés és védekezés
A káros csomag nemcsak adatokat lop, hanem az elkövető eszközét összepárosítja az áldozat WhatsApp-fiókjával, így a támadók akkor is hozzáférnek, ha az npm-csomagot törlik. Ez a kapcsolat csak manuális eszközleválasztással szüntethető meg. Az elemzést 27 végtelenciklus-csapda is nehezíti, amelyek megnehezítik a fertőzés felderítését. A fejlesztőknek érdemes mihamarabb törölniük a lotusbail-t, illetve ellenőrizniük a WhatsApp-beállításokat és a gyanús eszközpárosításokat. Fontos, hogy ne csak a forráskódot vizsgálják, hanem figyeljék a futás közbeni gyanús hálózati aktivitásokat is.
