CanesSpy Malware inkluderet i modificerede apps

En gruppe af cybersikkerhedseksperter har opdaget flere modificerede versioner af WhatsApp til Android, der inkluderer en spyware-komponent ved navn CanesSpy. Disse ændrede versioner af den populære beskedapp har vist sig at blive distribueret gennem tvivlsomme websteder, der reklamerer for sådan software, såvel som Telegram-kanaler, der hovedsageligt bruges af arabisk- og aserbajdsjansktalende, hvoraf den ene har en brugerbase på 2 millioner mennesker.

Forskerne har identificeret mistænkelige elementer i den ændrede klients kode, specifikt en tjeneste og en udsendelsesmodtager, som ikke er til stede i den originale WhatsApp-klient. Disse tilføjelser er specifikt designet til at aktivere spyware-modulet, når telefonen er tændt, eller når den begynder at oplade.

CanesSpys funktionsmåde

Ved aktivering etablerer spywaren en forbindelse med en kommando-og-kontrol-server (C2) og fortsætter med at sende information om den kompromitterede enhed, herunder IMEI, telefonnummer, mobil landekode og mobilnetværkskode. CanesSpy sender også med jævne mellemrum data om ofrets kontakter og konti hvert femte minut, udover at vente på yderligere instruktioner fra C2-serveren hvert minut, en indstilling der kan tilpasses.

Spywaren er også i stand til at sende filer fra eksternt lager (f.eks. et flytbart SD-kort), optage lyd fra enhedens mikrofon, transmittere data om spywarens konfiguration og ændre C2-serverdetaljerne. Det faktum, at kommunikationen med C2-serveren alt er på arabisk, tyder på, at udvikleren, der er ansvarlig for denne operation, sandsynligvis er en arabisk højttaler.

Yderligere analyse afslører, at denne spyware-kampagne har været aktiv siden midten af august 2023 og primært har rettet sig mod lande som Aserbajdsjan, Saudi-Arabien, Yemen, Tyrkiet og Egypten.