Специалисты Центра кибербезопасности РТК-Сервис зафиксировали аномальную активность мессенджера WhatsApp (принадлежит Meta, признанной в РФ экстремистской организацией). В ходе анализа трафика выявлено, что приложение устанавливает скрытые соединения с серверами управления ботнетами (C&C) и пытается взаимодействовать с административными портами (22, 21) зарубежных хостов. Полученные данные свидетельствуют о том, что приложение устанавливает соединения с серверами управления ботнетами (Command & Control, C&C) и административными портами зарубежных хостов, что создает критические риски для корпоративной инфраструктуры.
Результаты технического анализа
Исследование проводилось для устройств на базе Android с использованием инструментов анализа трафика (PCAPdroid). В результате мониторинга выявлен специфический характер исходящих соединений, генерируемых мессенджером:

Коннекты на административные порты: зафиксированы обращения на порты 22 (SSH) и 21 (FTP) на внешние IP-адреса, расположенные за пределами Российской Федерации. Такая активность не является штатной для программного обеспечения класса обмена сообщениями и может свидетельствовать о попытках удаленного администрирования или передачи данных.
Взаимодействие с инфраструктурой ботнетов: с устройств, на которых установлен WhatsApp, наблюдаются регулярные соединения на IP-адреса, внесенные в общедоступные базы данных как управляющие серверы ботнетов (C&C). Сети назначения при этом динамически меняются.

Характер угроз
Наличие таких соединений позволяет предположить, что устройства с установленным мессенджером потенциально могут находиться под управлением внешних серверов. В случае получения соответствующих привилегий злоумышленники получают возможность:

удаленно собирать чувствительные данные с устройств;
перемещаться по сегментированной сети организации;
использовать зараженное устройство в качестве плацдарма для распространения вредоносного ПО на другие узлы корпоративной инфраструктуры.

Влияние на системы мониторинга безопасности
Центр кибербезопасности РТК-Сервис обращает внимание на эффект «размытия» границ между легитимной активностью приложения и реальными инцидентами ИБ. Исходящий трафик, характерный для WhatsApp, по своим сетевым сигнатурам, совпадает с поведением зараженных устройств (бэкдоров) и каналов управления ботнетами.
Это создает ситуацию, в которой штатные средства мониторинга логов и сетевого трафика теряют способность точно детектировать реальные вторжения. Массовое использование мессенджера в корпоративной среде делает невозможным качественную фильтрацию подозрительной активности без блокировки доступа для конечных устройств.
Меры по защите инфраструктуры
В сложившихся условиях для обеспечения безопасности корпоративной сети и предотвращения потенциального распространения вредоносного ПО Центр кибербезопасности рекомендует:

Пересмотреть необходимость использования WhatsApp: в случаях, когда приложение не требуется для выполнения рабочих задач, удалить его с корпоративных устройств.
Ограничить фоновую активность: при подключении к корпоративной сети отключить работу мессенджера в фоновом режиме.
Провести диагностику устройств: выполнить сканирование с использованием актуальных антивирусных решений (например, Kaspersky Free) для проверки отсутствия вредоносного ПО, которое могло быть доставлено через описанные каналы.

* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.