Купон на скидку: 2026
Специалисты Центра кибербезопасности «РТК-Сервис» обнаружили необычную активность мессенджера WhatsApp. В ходе анализа трафика было выявлено, что приложение устанавливает скрытые соединения с серверами управления ботнетами (C&C) и пытается взаимодействовать с административными портами (22, 21) зарубежных хостов. Эти данные указывают на то, что приложение может создавать критические риски для корпоративной инфраструктуры.
Исследование проводилось на устройствах с операционной системой Android с использованием инструментов анализа трафика (PCAPdroid). В результате мониторинга был выявлен специфический характер исходящих соединений, генерируемых мессенджером. Зафиксированы обращения на порты 22 (SSH) и 21 (FTP) на внешние IP-адреса, находящиеся за пределами России. Такая активность не является стандартной для мессенджеров и может указывать на попытки удаленного администрирования или передачи данных.
С устройств, на которых установлен WhatsApp, наблюдаются регулярные соединения с IP-адресами, внесенными в базы данных как управляющие серверы ботнетов (C&C). Сети назначения при этом динамически изменяются. Это позволяет предположить, что устройства с установленным мессенджером могут находиться под контролем внешних серверов. Злоумышленники могут удаленно собирать чувствительные данные, перемещаться по сети организации и использовать устройство для распространения вредоносного ПО.
Центр кибербезопасности «РТК-Сервис» отмечает, что исходящий трафик WhatsApp по своим сетевым сигнатурам совпадает с поведением зараженных устройств и каналов управления ботнетами. Это затрудняет работу средств мониторинга, которые теряют способность точно обнаруживать реальные вторжения. Массовое использование мессенджера в корпоративной среде усложняет фильтрацию подозрительной активности без блокировки доступа для устройств.
Для защиты корпоративной сети Центр кибербезопасности рекомендует пересмотреть необходимость использования WhatsApp, удалив его с устройств, если он не нужен для работы. Также предлагается ограничить фоновую активность мессенджера при подключении к сети и провести диагностику устройств с использованием актуальных антивирусных решений для проверки на наличие вредоносного ПО.