R3s1stanc3

Ich bin root, ich darf das!

WhatsApp Wurm

In meinem vorletzten Eintrag habe ich ja schon über ein paar neue Ideen für Viren und Würmer gebloggt. Jetzt bin ich noch mal über eine ältere Idee von mir gestoßen, die ich schon auf der vxnetw0rk Mailinglist gepostet habe.

Es geht um einen Wurm, der sich über den Messanger “WhatsApp” verbreitet. Dieser Messanger ist für seine unsicherheit bekannt. Er benutzt keinerlei Verschlüsselung und es ist wohl möglich nur mit der MAC-Adresse und der Handynummer Nachrichten unter einer fremden Identität zu verschicken.

Hier ist eine API die das kann und ein WebClient.

Jetzt könnte man eine App schreiben, die die benötigten Daten vom Handy ausliest und sich selbst an alle WhatsApp Kontakte verschickt (notfalls einfach auf irgendeinen OCH uppen und den Link verschicken).

Ich bin mir sicher, dass ein solcher Wurm sich extrem schnell und weit verbreiten würde, da es erstens (wie bei EMails) keinen Executable Filter oder Ähnliches gibt, zweitens hat kaum jemand einen Virenscanner auf seinem Smartphone (und diese Scanner haben keine Heuristikerkennung, sondern arbeiten nur mit Stringdetection) und drittens kann man sich bei Smartphones noch mehr auf die Dummheit der Nutzer verlassen, da noch weniger drauf geachtet wird, was man ausführt als auf einem normalen PC. Gut aufgezogen (polymorph, insofern das bei Apps möglich ist; für Android und Apple [den Download der App einfach UserAgent abhängig anbieten]) könnte man dadurch evtl sogar wieder mal einen Ausbruch in der Größenordnung von SkyNet oder so haben. (Ich fordere nicht auf einen solchen Wurm zu spreaden, ich zeige nur ein Gedankenspiel von mir.)

Vielleicht findet sich ja jemand, der sich mit Android oder Apple App Entwicklung auskennt und hat Lust damit ein bisschen rum zu spielen :)

English:

A few blogposts ago, I wrote about a few new ideas. Now I found an older idea, I already posted in the vxnetw0rk mailinglist.

The idea is to write a worm, that spreads via the “WhatsApp” messanger. That messanger is known for its insecurity because it doesn’t use any encryption and it is possible to write messages over another user’s account just by knowing the phone number and the MAC adress of the mobilephone.

Here’s an API that uses that vulnerability and a webclient.

So it should be possible to write an App to read the required data from the mobilephone and send itself to every WhatsApp contact (maybe you have to upload it to an one-click-hoster and spread the link).

I’m pretty sure, that such a worm would spread extreamly fast because of a few reasons: firstly, there is no executable filter (no filter at all) like used by email providers, second, almost nobody has an antivirus system on his mobilephone (and even if, those don’t use any heuristic detection, only string based detection) and third, most smartphone users are even dumber than a normal PC user and they are more likely to execute every incoming file. With a good concept (polymorphic, if possible; spreading on Android and iOS [checking the UserAgent befor providing the download]), a worm like this may cause an outbreake as big as the ones of NetSky or MyDoom. (I don’t challenge anybody to spread a worm, that is just a play of thoughts.)

Maybe there is anybody out there, who knows Android or iOS app developement and is motivated to write that code :)