Investigadores da Koi Security identificaram uma biblioteca maliciosa que se fazia passar por uma API do WhatsApp, espiava mensagens e mantinha acesso às contas mesmo após a desinstalação.

Uma biblioteca amplamente utilizada por programadores para integrar o WhatsApp em aplicações revelou-se um caso sofisticado de malware ativo durante vários meses. De acordo com uma investigação da Koi Security, um pacote distribuído no repositório npm apresentava-se como uma API funcional do WhatsApp Web, mas continha código malicioso capaz de recolher mensagens, contactos e credenciais de autenticação.

O pacote, denominado lotusbail, esteve disponível durante mais de seis meses e acumulou mais de 56 mil downloads. A biblioteca fazia-se passar por uma derivação da API legítima @whiskeysockets/baileys e funcionava como prometido, permitindo enviar e receber mensagens através do WhatsApp. Segundo os investigadores, esta funcionalidade real foi decisiva para o sucesso do ataque, uma vez que os programadores tendem a desconfiar de código que falha, mas não de código que funciona.

“A engenharia social aqui é brilhante: os programadores não procuram malware em código que funciona; procuram em código que falha”, referem os investigadores da Koi Security no relatório. Ao oferecer valor operacional imediato, a biblioteca passou verificações informais de confiança e foi integrada em ambientes de produção, onde o comportamento malicioso permaneceu oculto.

A análise técnica revelou que o lotusbail envolvia o cliente WebSocket legítimo do WhatsApp com uma camada adicional controlada pelos atacantes. Todas as interações passavam por esse intermediário, permitindo capturar tokens de autenticação, chaves de sessão, histórico completo de mensagens, listas de contactos e ficheiros multimédia. Os dados eram cifrados com um sistema de encriptação RSA personalizado antes de serem enviados para servidores remotos, dificultando a deteção por ferramentas tradicionais de monitorização de rede.

Para além da recolha de informação, o malware explorava o mecanismo de emparelhamento de dispositivos do WhatsApp, inserindo um código fixo e encriptado que ligava silenciosamente o dispositivo do atacante à conta da vítima. Este acesso persistia mesmo após a remoção da biblioteca da aplicação, obrigando os utilizadores a desvincular manualmente todos os dispositivos associados à conta, um procedimento que muitos desconhecem.

A Koi Security sublinha que este caso ilustra a evolução dos ataques à cadeia de fornecimento de software, cada vez mais baseados em código funcional, técnicas avançadas de ocultação e mecanismos de persistência. Segundo os investigadores, a deteção deste tipo de ameaças exige análise comportamental em tempo de execução, uma vez que revisões estáticas e métricas de popularidade, como o número de downloads, deixam de ser indicadores fiáveis de segurança.