Зачем whatsapp массово пытается подключаться по ssh?

Question

[drlight17]

С коллегами обнаружили подозрительный массовый исходящий трафик со многих точек доступа wifi в обслуживаемых организациях на разнообразные белые ip адреса по порту 22/TCP (ssh).
Установили, что делает это мессенджер Whatsapp (см. приложенный скриншот с телефона - ошибка, потому что эти соединения блокирует шлюз организации).
Кто-то в курсе, зачем он это делает? Ахтунг?

На шлюзе это выглядит вот так:

Comments

[SunTechnik]

У себя такого поведения whatsapp не наблюдаю.
Логичного объяснения зачем ему это надо - нет.
Очень похоже на подмену приложения/зловред.

[drlight17]

SunTechnik, допускаю, что может быть версии разные. С вышеописанным поведением Whatsapp версии 2.25.23.80, установлен из Google Play.

[Adamos]

drlight17, на тот же телефон, возможно, натянуто что-нибудь для VPN, например?

[drlight17]

Adamos, даже если и есть, то не вижу связи - на скриншоте явно видно, что трафик от приложения whatsapp, а не от какого-то vpn клиента

[Refguser]

drlight17, для чистоты эксперимента установи эту же версию WA на другой девайс, предварительно убедившись что ничто другое такого не делает.

[Mors Clamor]

Смешно, какие-то совершенно левые айпишники из разных АС. У себя такого не наблюдаю, проверяйте приложение

[a_suvorov]

Проверил у себя и обнаружил, что проблема тоже наблюдается. Приложение тоже установлено из официального источника, телефон на android. Попросил знакомых проверить у себя и почти у всех проблема обнаружилась. Причем запросы идут не постоянно, а с периодами "затишья", которые возможно, связанны с активностью работы с телефоном. В результате снес приложение и накатил заново - пока что проблема не наблюдается. Буду мониторить, но похоже проблема таки имеет массовый характер.

[drlight17]

На данный момент наблюдаю, что такое поведение пропадает, если переустановить приложение из любого источника - как PlayMarket, так и apk файла с www.whatsapp.com.
На устройствах с нетронутым приложением продолжаются попытки подключения по 22...
Наблюдаем.

[Zerg89]

drlight17, мне переустановка не помогла снес приложение нафиг, поддерживать ddos несобираюсь, после сноса приложения тихо в логе

[drlight17]

Zerg89, вообще там по логу на скриншоте видно, что предположительно нездоровая активность была/есть не только в сторону ssh...

[paran0id]

Проверил у себя - не воспроизводится.

[drlight17]

Вот, кстати, человек еще до меня, оказывается, наткнулся. Правда ему хватило проницательности предупредить, что не в целях очернить одних или обелить других он это запостил, а то тут у некоторых триггерит не по-детски. =)

[Ziptar]

drlight17, статья про сканирование окружающих вай-фай стетей, а тут он на внешние адреса долбится

[drlight17]

Ziptar, нет, не только, почитайте статью внимательно ещё раз. Вот, например, цитата из нее: "Постоянно открывает соединения на разные IP и всякие мутные порты (ssh, ntp, ftp)."

[pfg21]

да похеръ что он там сканирует.
множестве соединение по всему тырнету явно не работа для месенгера...

[a_suvorov]

drlight17, увы переустановка помогла на время. Сегодня опять пошла левая активность

[drlight17]

a_suvorov, в нем либо хитрый ИИ и/или алгоритм под капотом, либо управляется это всё извне по мановению кулхацкера(-ов), как любым ботнетом. Потому и поведение несколько умнее/непредсказуемее, наверное...

[nidalee]

Так и чем все закончилось в итоге? Тянет на статью для Хабра.

[Andy_U]

nidalee, Случайно увидел эту тему (кстати, у одного меня пропала ссылка на Q&A с головной страницы habr.com?). На моем Keenetic роутере в активных соединениях ничего не вижу. Cниффер на роутере пока не включал. Но у меня версия Whatsapp 2.25.26.74 из Play Store, а не обсуждаемая, и я не в РФ. И вообще, хай на весь мир был бы.

[nidalee]

Andy_U, да, они после редизайна забыли ссылку видимо. Тоже случайно нашел тему. Хотелось бы полноценного исследования вопроса... У самого компетенции слабоваты, но завтра могу проверить тоже, когда дома буду. Микрот в наличии.

[Andy_U]

nidalee, У меня сутки собирался трафик роутером с телефона на 22 порт. Ноль пакетов.

Answer 1

[vasiliipetrovich]

Нам удалось выяснить, что вотсап таким образом обходит блокировки, поднимая ssh-туннель с серверами Akamai либо Digital Ocean. Это что касается именно 22 порта. Там еще летит куча запросов, но их детально не рассматривали, интересовали запросы по 22 порту.

Comments

[drlight17]

Спасибо! Если это действительно так, то приму Ваш ответ за решение.

[pfg21]

если это действительно так.... :)

[vasiliipetrovich]

drlight17, ну по сути мы сдампили трафик в реальном времени и нашли в сети устройство, которое в текущий момент обменивалось инфой по 22 порту. Взяли это устройство в руки, открыли вотсап и вся активность вотсапа моментально отражалась в трафике. То есть была вполне адекватная корреляция действий пользователя в приложении с сетевой активностью приложения.
Так же я пробежался где-то по 20-30 айпишникам на которые шли запросы по 22 порту - и все эти адреса принадлежали либо Akamai, либо Digital Ocean, что в целом выглядит как более-менее понятная попытка обхода блокировки через CDN.
Что по факту идет в трафике известно только вотсапу... естественно уходить может все что угодно и разрешено приложению. Официальных заявлений по этой теме от вотсапа не было никаких, да и обсуждений я особо не нашел, поэтому наше мини-расследование описать решил) может будет кому то тоже полезно. В любом случае поглядывать будем на эту активность...
Есть еще мысль взять чистый только что распакованный телефон и накатить на него вотсап, чтобы точно исключить заражение сторонним вирусом. Если конечно сам вотсап в этом случае им не является :D

Answer 2

[Deniska_80]

Подтверждаю, поставил PCAPdroid - паразитный трафик налицо. Был установлен, естественно из стора, показывал, что версия актуальная. Снес/поставил еще раз - уже минут 30 только легальные коннекты - DNS, HTTPS.
Поспрошал у знакомых - у одного еще словили.

Comments

[pfg21]

тож поставил PCAPdroid.
замониторил кацапыча и для сравнения приистнопамятную телегу.
кацап сразу же начал стучаться на 22 порт ну и еще на полтырнетика связей. очень-на подозрительна :)
телега (частично видна на скриншоте) 4 (!!) сервера, два из которых гуглапи, один виден на скриншоте. после кацапыча просто детский сад :)
у меня подозрение что сразу после установки кацап тихарится :) а потом начинает дополнительную деятельность. оно и логично, пдозрения со временем выветриваются.
вообще номер порта это просто номер порта (как говорил дедушка Фрейд) и по 22ому можно порнуху гонять и по 80му ssh-связываться....

[Zettabyte]

Подтверждаю

А у вас тоже версия 2.25.23.80, или другая?

Answer 3

[memtew]

5 сентября вышло обновление, которое начало эту деятельность на моём телефоне и телефонах моей семьи. Телефоны с последней версией whatsapp начали стучаться на сервера по всему миру на 22, 80, 443 порты. Заметил случайно, роутер Ubiquiti умеет отслеживать подозрительную деятельность и выводит сообщение о блокировке. На работе у нас тоже Ubiquiti и там в логах у большинства коллег точно такое же поведение, постоянные попытки соединения по 22 порту. На моём телефоне проблема решилась отключением фонового режима у Whatsapp.

Comments

[Zettabyte]

5 сентября вышло обновление, которое начало эту деятельность на моём телефоне

А у вас тоже версия 2.25.23.80, или другая?

[memtew]

Zettabyte, Версия 2.25.24.78, но он обновился вчера.

[Zettabyte]

memtew,

Версия 2.25.24.78

Спасибо за уточнение.
А эта версия тоже на 22-й порт ломится?

Answer 4

[Drno]

чет за воцап такого не замечалось.. скорее похоже на вирусню

Comments

[drlight17]

Приложение официальное вер. 2.25.23.80, установлено из Google Play.

[Refguser]

drlight17, может вирусня под него маскируется. В комменте под ответом я написал свои рекомендации.

[pfg21]

Refguser, элементарно проверяется переустановкой.
жаль андроид не показывает для приложения подпись или хеш подписи автора апк.
Но думаю там все в порядке. пакет с другой подписью поставить андроид не даст.

[Refguser]

pfg21, переустановка ничего не даст если там вирь маскируется. Будет всё тоже самое

[pfg21]

Refguser, на то и проверка.

[Refguser]

pfg21, Что ты проверишь? Нет никакой проверки в переустановке, дурное времяпрепровождение.

[pfg21]

Refguser, естественно. нет никакого виря - это заложенное в код действия :) скомпилированное, запакеченное и подписанное авторами :) и авторская подпись проверена на гугл-сторе.

[Ziptar]

pfg21, цукерберг дудосит, короче

Answer 5

[itank]

Суппорт Whatsapp, только ИИ
не сознается ....
Я уже знал об этом. Однако, я должен повторить, что WhatsApp не использует SSH (порт 22) для своих сервисов. Порты 80 и 443 обычно используются для HTTP и HTTPS соединений соответственно, что является стандартной практикой для многих приложений, включая WhatsApp.

Если вы обеспокоены тем, что WhatsApp устанавливает соединения на эти порты, я могу предложить вам проверить настройки вашего устройства и приложения, чтобы убедиться, что все соединения безопасны и авторизованы.

Answer 6

[Кот Абсолютный]

wa такого не делает и делать не может :) Это вирусяка, который под него маскируется. Ну и что, что с маркета - мало ли случаев, когда на маркете ловили вирусяк?

Comments

[pfg21]

вирусняк в пакете с подписью авторов ватцапа ?? хорошо же хакеры копнули код ватцапа... тогда много чего можно ожидать ...

[Adamos]

pfg21, это первый вопрос ТС на Тостере.
Проблему в комментариях подтвердил новорег на Тостере.
Проблема касается прямого конкурента агрессивно продвигаемого госмессенджера Мах.
По-моему, информации вполне достаточно...

[a_suvorov]

Adamos, раскусили)
никто не мешает поставить приложение указанное на скрине выше и проверить, что отправляет и куда уходит на телефоне. Далее делайте вывод сами. Удачи!

[pfg21]

Adamos, дык и я о том же это не вирусняк, это какаято закладка.

[Adamos]

pfg21, самое смешное в том, что ТС (судя по совершенно шаблонной реакции схваченного за руку - мелкий интернет-гоблин) реально мог хапнуть трояна, когда по этой своей активности натягивал себе на телефон "улучшенные" версии Ватсаппа ради нескольких фейковых аккаунтов. Вор у вора дубинку украл :)

О, он еще и ответ написал, с третьего новорега. Есть, товарищи, такая работа - видимость народа создавать!

[Zerg89]

Adamos, тоже могу подтвердить что после открытия ватсап в микротике forward'ом полетел трафик на порт 22 с wifi
Ps левое приложение не ставил, так что не в нем дело

[Adamos]

Zerg89, а мне, признаться, это весьма до пуговицы.
Я, в сущности, не о приложении, а о ТС и его весьма характерной активности.
Сам-то я ватсаппом просто-напросто - не пользуюсь...

[tut_nick]

Хмм..есть такое. Я чет не особо верил)

[drlight17]

Adamos, не обижайте моих коллег, пожалуйста =))

[Ziptar]

Ну и что, что с маркета - мало ли случаев, когда на маркете ловили вирусяк?

Тут ещё всплывает вопрос - с какого маркета?


ЗЫ Не вижу никакой паразитной активности от вотсапа на своём телефоне

[Zerg89]

Ziptar, googleplay в моем случае
Мониторил на mikrotik, стоит открыть whatsapp начинает стучатся на порт 22/tcp да еще и с паузами видимо чтобы f2b обходить по медленной схеме(с учетом сколько народа им пользуется не могу даже представить силу ddos,'а)

[Ziptar]

Zerg89, вообще да, перепроверил, тоже при запущенном вотсапе на форварде попытки достучаться до 22-ого порта на внешку
После переустановки из гугл плея ничё не меняется, странно. Начисто, без восстановления чатов, не могу себе позволить переустановить, но, во всяком случае, стучаться он начинает ещё до загрузки медиа из бэкапа.
Заблочил пока 22-ой порт на форварде, но это паллиатив - ток для дома, и исключения делать придётся. Ну, благо, пока окно не открыто на телефоне - молчит, а вотсапом я в основном с пк пользуюсь.

[Ziptar]

Adamos, оно конечно всё может быть, но вот только сабж всё равно не повод переходить на макс, так что реклама/антиреклама то так себе

[Кот Абсолютный]

Ziptar, Проверить смогу не раньше понедельника. Но проверю чиста из интереса. Макс у меня кстати уже стоит - потому что у нас тут на териитории завода глушилки на макс :) влупили.

[drlight17]

Кот Абсолютный, интересный Вы, а сразу проверить было конечно же нельзя. Проще было сразу сказать, что "wa такого не делает и делать не может :) " Печальные, однако, спецы здесь по ИБ (честно говоря, с таким отношением, хотелось бы верить, что настоящим инфобезом Вы не занимаетесь - только почему-то курируете здесь тег ИБ).

[Ziptar]

drlight17, да не, если всё в норме - вотсап так не должен делать. А если делает - значит что-то где-то не в норме. Вопрос где.

[Кот Абсолютный]

drlight17, Братан, не поверишь, у меня есть много больше важных вопросов, чем заниматься проверкой какой-то шляпы - именно потому что я занимаюсь настоящим инфобезом. А по поводу кураторства тега - и тебе ничего не мешает спросить модератора (но только помни, чем обычно заканчивается попытка переписки с ним :DDD)

[pfg21]

Adamos, лично проверил на собственном телепоне :) кацапыча ставил эдак пару месяцев назад.друзья-товарици вынудили. сейчас поставил PCAPdroid.
связь и на 22 порт и еще с половиной тырнетика есть. подтверждаю скринщотиком.

[Adamos]

pfg21, повторяю: меня вообще не волнует поведение программы, которой я никогда не пользовался, тем более, что Чебурнет в ближайшее время все равно сделает ее недоступной для россиян.
Я просто предположил, что ТС тут по работе, и он характерной активностью (и столь же характерной манерой своих комментариев) это фактически подтвердил.

[pfg21]

Adamos, вполне согласен. потому и сравнивал с телегой. оне вроде как свободное ПО, хотя и на Пашку тень наводят. "верить никому нельзя" (с) Мюллер.
хз, тут вариант - ковырятся и изучать.

[drlight17]

Adamos, по работе, в самом тексте топика же прямым текстом написано про "коллег" и "обслуживаемые организации". Просто обнаружилось это случайно на работе, нигде в другом месте, включая дом, даже мысли не было мониторить потенциальный ssh трафик.
pfg21 было бы больше времени и навыков "ковыряться и изучать" это, то вопрос бы здесь не задал. Я вообще, в отличии от некоторых отписавшихся здесь, скорее читатель, а не писатель, если вы понимаете о чем я ;)
Кот Абсолютный ну Вы прямо в одном сообщении базу выдали. Вопросов к Вам более не имею - всё ясно.

[Кот Абсолютный]

drlight17, Замечательно! Когда человек ко мне не имеет вопросов - это значит ему неинтересно со мной общаться. И как правило, это штука взаимообратная и поэтому это сэкономит мне массу времени на те вещи, которые мне более интересны!
Так что, спасибо, братан, ведь и я в таком случае не имею к тебе вопросов и не трачу свое время :)

Answer 7

[bezhigov]

Подтверждаю. Начал проверку после ввода правила банящего подключения на управляющие порты. И тут Ваша статья. Спасибо всем кто подкинул дров!

Comments

[Zettabyte]

Подтверждаю

А у вас тоже версия 2.25.23.80, или другая?

[bezhigov]

Zettabyte, у меня была последняя версия, но я на всякий случай удалил, проверил без него (спамить перестало) и снова установил; результат тот же, я попрощался с этим приложением. Жаль теперь редко буду видеть сторисы земляков xD