Один QR-код – доступ к камере, микрофону и геолокации. Новая кампания в WhatsApp превращает телефон в шпионское устройство

Все началось с одного сообщения в WhatsApp. Иранский активист Нариман Гариб, живущий в Великобритании, получил ссылку якобы на встречу и решил предупредить других. Публикация с замазанными скриншотами быстро привлекла внимание, потому что за такой приманкой обычно стоит не спам, а целевая охота на конкретных людей.

По данным TechCrunch, за ссылкой скрывалась фишинговая цепочка, рассчитанная на пользователей, так или иначе связанных с Ираном и темой протестов. Кампания развернулась на фоне ограничений связи в стране и обострения противостояния в киберпространстве, где иранские и проиранские группы давно считаются очень активными.

Анализ исходной ссылки помог получить исходный код поддельной страницы. Злоумышленники пытались не только выманить логины и пароли от Gmail и других сервисов, но и перехватить аккаунты WhatsApp. Дополнительно код намекал на попытку слежки через доступ к геолокации, камере и микрофону.

Ключевой трюк начинался с домена на DuckDNS. Это сервис динамического DNS, который позволяет привязать запоминающийся адрес к серверу, чей IP может часто меняться. Проще говоря, ссылка выглядела более правдоподобно и хуже отслеживалась, чем прямой адрес. При этом сама фишинговая инфраструктура, судя по данным исследователей, была связана с доменом alex-fabow.online, зарегистрированным в начале ноября 2025 года. Рядом всплывали похожие домены, которые маскировались под сервисы виртуальных встреч, например meet-safe.online и whats-login.online.

Фишинговая ссылка (@NarimanGharib)

Сам сценарий подстраивался под жертву. Кому-то открывали фальшивую страницу входа в Gmail, кому-то предлагали ввести номер телефона, а затем по шагам вытягивали пароль и код двухфакторной аутентификации. Внутри все было устроено так, будто сайт записывает каждое действие пользователя, включая ошибки при вводе, что сильно повышает шанс дождаться правильной комбинации.

Самое неприятное, что сервер злоумышленников оказался настроен с грубой ошибкой. TechCrunch обнаружил, что на нем можно было просмотреть файл с логами ответов жертв, и доступ к нему не был защищен паролем. В этом массиве было более 850 записей, включая введенные логины, пароли и коды 2FA. По данным из user agent видно, что атаку делали сразу под Windows, macOS, iPhone и Android.

Среди пострадавших оказались люди, которых сложно назвать случайными целями. В логах фигурировали академик, занимающийся исследованиями в области нацбезопасности, руководитель израильского производителя дронов, высокопоставленный ливанский министр, как минимум один журналист, а также пользователи в США или с американскими номерами. При этом подтвержденных случаев успешного взлома, которые удалось связать с логами, было относительно немного, речь шла о десятках и, вероятно, менее чем о 50 людях. Это не исключает, что реальных жертв было больше, просто не все попадали в обнаруженный набор данных.

Отдельная ветка атаки была заточена под захват WhatsApp. В варианте, который увидел Гариб, открывалась страница в стиле WhatsApp с QR-кодом. Приманка выглядела как приглашение в виртуальную комнату, а на деле должна была заставить человека привязать свой аккаунт к устройству атакующего через функцию связывания устройств. Это известная техника, которую раньше применяли и против пользователей других мессенджеров.

Скрипты могли запрашивать у браузера разрешение на отслеживание геолокации, а также доступ к фото и аудио. Если жертва соглашалась, координаты отправлялись атакующим и обновлялись каждые несколько секунд, пока вкладка оставалась открытой. Камера и микрофон тоже могли срабатывать сериями, делая снимки и короткие записи. В опубликованных данных TechCrunch не увидел уже собранных фото, аудио или координат, но сама возможность в коде присутствовала.

Кто стоял за кампанией, до конца не ясно. Специалисты отметили, что атака похожа на целевой spear phishing, который ассоциируют с иранскими структурами, и перечислил признаки вроде международного охвата, кражи учетных данных и активного использования WhatsApp. С другой стороны, исследователь DomainTools, анализировавший домены, счел инфраструктуру скорее похожей на киберпреступную операцию с финансовой мотивацией. Есть и третья версия, что государственные игроки могли использовать преступные группы как подрядчиков, чтобы сложнее было напрямую связать атаку с заказчиком.

Сам фишинговый сайт на момент публикации расследования уже перестал открываться. Но история снова напоминает простую вещь, которая особенно плохо работает в мессенджерах, где мы привыкли доверять переписке. Ссылки на встречи, входы и подтверждения, пришедшие внезапно, безопаснее считать подозрительными, даже если они выглядят убедительно.