Un recent incident de ciberseguretat ha posat en escac els comptes de WhatsApp de desenes de milers de persones, no per una fallada interna de la plataforma, sinó per una sofisticada eina de tercers que, sota una aparença inofensiva, ocultava un perillós malware dissenyat per al robatori massiu d'informació.

L'alerta ha estat emesa per la firma de seguretat Koi Security, revelant una campanya que ha operat de forma encoberta durant almenys sis mesos. L'epicentre de l'atac va ser npm (Node Package Manager), el repositori de programari més gran del món per a desenvolupadors de JavaScript, on hi havia un paquet anomenat "lotusbail".

"Lotusbail": un troià molt sofisticat que ha causat estralls a WhatsApp

L'atac de "Lotusbail" abasta pràcticament tot el contingut dels comptes afectats

Aquest paquet es camuflava com un fork (una versió derivada) legítima i millorada de Baileys, un projecte molt conegut i utilitzat per desenvolupadors per crear bots o eines d'automatització per a WhatsApp Web. L'astúcia dels atacants residia en el fet que "lotusbail" no només funcionava com prometia, sinó que, en segon pla, executava un codi maliciós imperceptible.

Els investigadors de Koi Security detallen que aquest malware actuava com un intermediari invisible. Cada fragment d'informació que transitava per l'aplicació, des de l'autenticació inicial fins a l'enviament i recepció de missatges, era interceptat. Això permetia al programari capturar les credencials dels usuaris i enregistrar la totalitat de les seves comunicacions.

L'abast de la informació compromesa és alarmant i abasta pràcticament tot el contingut dels comptes afectats. El programari maliciós no es limitava als missatges de text, sinó que s'estenia a: llistes completes de contactes, fitxers multimèdia (fotografies, vídeos, àudios), documents compartits i testimonis d'autenticació i claus de sessió, que permeten mantenir l'accés al compte.

A diferència de altres atacs recents, aquest codi maliciós incloïa una funció que vinculava automàticament el dispositiu dels atacants al compte de WhatsApp de la víctima mitjançant la característica de "Dispositius vinculats". Això implicava que, fins i tot si el desenvolupador o l'usuari final eliminaven l'eina infectada del seu equip, els atacants mantenien un accés complet i indefinit al compte de WhatsApp, ja que el seu dispositiu romania autoritzat a la llista de sessions actives.

Com saber si el teu WhatsApp va ser atacat per "Lotusbail"

Els atacants mantenien un accés complet i indefinit al compte de WhatsApp de les persones afectades

Tot i que l'atac estava dirigit a desenvolupadors que van incorporar aquesta llibreria en els seus projectes, qualsevol usuari final que hagi utilitzat eines derivades de "lotusbail" podria estar en risc. La bona notícia és que verificar si el teu compte ha estat compromès és un procés senzill i crucial:

  • Obre l'aplicació de WhatsApp al teu mòbil
  • Accedeix a Configuració (o el menú dels tres punts)
  • Selecciona Dispositius vinculats

Revisa acuradament la llista de sessions actives. Si trobes algun navegador o dispositiu desconegut, o una sessió amb una data d'inici sospitosa, tanca-la immediatament.

Malgrat la feina de cada app per blindar el seu sistema, tot indica que els ciberdelinqüents van a la par. La lliçó és inequívoca: la verificació regular dels dispositius vinculats als nostres comptes i una prudència extrema amb qualsevol programari aliè als canals oficials són les defenses més efectives contra aquests atacs cada vegada més sofisticats.