CanesSpy-Malware in modifizierten Apps enthalten

Eine Gruppe von Cybersicherheitsexperten hat mehrere modifizierte Versionen von WhatsApp für Android entdeckt, die eine Spyware-Komponente namens CanesSpy enthalten. Es wurde festgestellt, dass diese veränderten Versionen der beliebten Messaging-App über fragwürdige Websites verbreitet werden, die für solche Software werben, sowie über Telegram-Kanäle, die hauptsächlich von Arabisch- und Aserbaidschanischsprachigen genutzt werden, von denen einer eine Nutzerbasis von 2 Millionen Menschen hat.

Die Forscher haben im Code des modifizierten Clients verdächtige Elemente identifiziert, insbesondere einen Dienst und einen Rundfunkempfänger, die im ursprünglichen WhatsApp-Client nicht vorhanden waren. Diese Ergänzungen dienen speziell dazu, das Spyware-Modul zu aktivieren, wenn das Telefon eingeschaltet wird oder mit dem Aufladen beginnt.

Funktionsweise von CanesSpy

Bei der Aktivierung stellt die Spyware eine Verbindung mit einem Command-and-Control-Server (C2) her und sendet Informationen über das kompromittierte Gerät, einschließlich IMEI, Telefonnummer, Mobilfunk-Ländercode und Mobilfunknetzcode. CanesSpy sendet außerdem regelmäßig alle fünf Minuten Daten über die Kontakte und Konten des Opfers und wartet jede Minute auf weitere Anweisungen vom C2-Server, eine Einstellung, die angepasst werden kann.

Die Spyware ist auch in der Lage, Dateien von einem externen Speicher (z. B. einer austauschbaren SD-Karte) zu senden, Audio vom Mikrofon des Geräts aufzuzeichnen, Daten über die Konfiguration der Spyware zu übertragen und die Details des C2-Servers zu ändern. Die Tatsache, dass die Kommunikation mit dem C2-Server ausschließlich auf Arabisch erfolgt, legt nahe, dass der für diesen Vorgang verantwortliche Entwickler wahrscheinlich Arabisch spricht.

Weitere Analysen zeigen, dass diese Spyware-Kampagne seit Mitte August 2023 aktiv ist und vor allem Länder wie Aserbaidschan, Saudi-Arabien, Jemen, die Türkei und Ägypten ins Visier genommen hat.