Задать вопрос

Зачем whatsapp массово пытается подключаться по ssh?

С коллегами обнаружили подозрительный массовый исходящий трафик со многих точек доступа wifi в обслуживаемых организациях на разнообразные белые ip адреса по порту 22/TCP (ssh).
Установили, что делает это мессенджер Whatsapp (см. приложенный скриншот с телефона - ошибка, потому что эти соединения блокирует шлюз организации).
Кто-то в курсе, зачем он это делает? Ахтунг?
68c11b30e857f767583248.jpeg
На шлюзе это выглядит вот так:
68c11d9cedc5b321090615.png
  • Вопрос задан
  • 9926 просмотров
Подписаться 17 Средний 21 комментарий
Помогут разобраться в теме Все курсы
  • Нетология
    Специалист по информационной безопасности + нейросети
    12 месяцев
    Далее
  • Академия Эдюсон
    Специалист по кибербезопасности: тариф Базовый
    5 месяцев
    Далее
  • ProductStar × РБК
    Профессия: Инженер по информационной безопасности + ИИ
    9 месяцев
    Далее
Решения вопроса 1
@vasiliipetrovich
Нам удалось выяснить, что вотсап таким образом обходит блокировки, поднимая ssh-туннель с серверами Akamai либо Digital Ocean. Это что касается именно 22 порта. Там еще летит куча запросов, но их детально не рассматривали, интересовали запросы по 22 порту.
Ответ написан
Пригласить эксперта
Ответы на вопрос 7
@Deniska_80
Подтверждаю, поставил PCAPdroid - паразитный трафик налицо. Был установлен, естественно из стора, показывал, что версия актуальная. Снес/поставил еще раз - уже минут 30 только легальные коннекты - DNS, HTTPS.
Поспрошал у знакомых - у одного еще словили.
Ответ написан
memtew
@memtew
5 сентября вышло обновление, которое начало эту деятельность на моём телефоне и телефонах моей семьи. Телефоны с последней версией whatsapp начали стучаться на сервера по всему миру на 22, 80, 443 порты. Заметил случайно, роутер Ubiquiti умеет отслеживать подозрительную деятельность и выводит сообщение о блокировке. На работе у нас тоже Ubiquiti и там в логах у большинства коллег точно такое же поведение, постоянные попытки соединения по 22 порту. На моём телефоне проблема решилась отключением фонового режима у Whatsapp.
Ответ написан
@Drno
чет за воцап такого не замечалось.. скорее похоже на вирусню
Ответ написан
@itank
Суппорт Whatsapp, только ИИ
не сознается ....
Я уже знал об этом. Однако, я должен повторить, что WhatsApp не использует SSH (порт 22) для своих сервисов. Порты 80 и 443 обычно используются для HTTP и HTTPS соединений соответственно, что является стандартной практикой для многих приложений, включая WhatsApp.

Если вы обеспокоены тем, что WhatsApp устанавливает соединения на эти порты, я могу предложить вам проверить настройки вашего устройства и приложения, чтобы убедиться, что все соединения безопасны и авторизованы.
Ответ написан
Комментировать
rishatss
@rishatss
Simple Developer ^)
Заметил в домашней сети на Suricata внезапные алерты ранним утром: пошел исходящий SSH-трафик (outbound) и непонятные POST-запросы на различные IP-адреса по всему миру. Большая часть из них, конечно, вела на CDN Akamai, но было странно наблюдать, что запросы идут далеко не только туда.

В домашней сети много лет лежал старый планшет Xiaomi Pad 5 на MIUI 14.0.8. Он уже перестал получать обновления, но установленный на нем WhatsApp никогда раньше не триггерил подобные алерты — годами все было спокойно. Однако 29.05.2026 в 10:02 по времени Кыргызстана устройство внезапно начало генерировать огромное количество такого трафика.

Я сразу приступил к анализу, локализовал источник и подумал, что планшет каким-то образом скомпрометирован. Целый день дебажил трафик через adb, параллельно удаляя подозрительные приложения. Пытался найти, что именно внедрилось рядом с WhatsApp и выступило в роли дроппера. Но следов дроппера так и не обнаружил.

В итоге решил сделать полный сброс устройства. Планшет был китайской версии, но с разблокированным загрузчиком. Сбросил до заводских, «чистым» поставил WhatsApp из Google Play — и... трафик возобновился. Появились мысли, что заражена сама прошивка или устройство пробито на каком-то более глубоком уровне.

В процессе дальнейших манипуляций я случайно окирпичил планшет. Накатывал китайскую HyperOS 1 и забыл снять галочку «заблокировать загрузчик» (clean and lock). Восстановить его теперь практически нереально, так как для авторизации в Mi Flash нужен привязанный китайский номер телефона. На том же 4PDA пишут, что в текущих реалиях это почти «труп».

Ладно, решил, что планшет отжил свое, и поехал за новым. Взял Xiaomi Pad 8, настроил «с нуля» на свежей HyperOS без переноса данных, но вошел под старым Google-аккаунтом. И что я вижу в логах Suricata? Подобный трафик продолжается!

При этом в одной сети с ними находятся Xiaomi 17 Ultra и старый Redmi — они ни в чем подобном замечены не были, их WhatsApp ведет себя абсолютно тихо.

Короче говоря, докопаться до истинной причины пока не удалось. Вариантов несколько: либо это точечный таргетированный пробой, либо WhatsApp на китайских версиях прошивок (или конкретных планшетах) как-то странно взаимодействует с сетью, либо мы наблюдаем формирование масштабного ботнета (в порядке теории заговора).

Для себя пока сделал радикальный вывод: отказ от WhatsApp и, возможно, в потенциале от китайских вендоров, так как абсолютно непонятно, кто генерирует эту полезную нагрузку и зачем. В интернете вменяемых объяснений или аналогичных кейсов я так и не нашел.
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Жил да был черный кот за углом...
wa такого не делает и делать не может :) Это вирусяка, который под него маскируется. Ну и что, что с маркета - мало ли случаев, когда на маркете ловили вирусяк?
Ответ написан
@bezhigov
Подтверждаю. Начал проверку после ввода правила банящего подключения на управляющие порты. И тут Ваша статья. Спасибо всем кто подкинул дров!
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы