Το CanesSpy Malware περιλαμβάνεται στις τροποποιημένες εφαρμογές
Μια ομάδα ειδικών στον κυβερνοχώρο ανακάλυψε πολλές τροποποιημένες εκδόσεις του WhatsApp για Android που περιλαμβάνουν ένα στοιχείο spyware που ονομάζεται CanesSpy. Αυτές οι τροποποιημένες εκδόσεις της δημοφιλούς εφαρμογής ανταλλαγής μηνυμάτων βρέθηκε ότι διανέμονται μέσω αμφισβητήσιμων ιστότοπων που διαφημίζουν τέτοιο λογισμικό, καθώς και μέσω καναλιών Telegram που χρησιμοποιούνται κυρίως από ομιλητές Αραβικά και Αζερμπαϊτζάν, ένας εκ των οποίων έχει βάση χρηστών 2 εκατομμυρίων ατόμων.
Οι ερευνητές εντόπισαν ύποπτα στοιχεία στον τροποποιημένο κωδικό του πελάτη, συγκεκριμένα μια υπηρεσία και έναν δέκτη εκπομπής, τα οποία δεν υπάρχουν στον αρχικό πελάτη WhatsApp. Αυτές οι προσθήκες έχουν σχεδιαστεί ειδικά για να ενεργοποιούν τη μονάδα spyware όταν το τηλέφωνο είναι ενεργοποιημένο ή όταν αρχίζει να φορτίζεται.
Τρόπος Λειτουργίας του CanesSpy
Μετά την ενεργοποίηση, το λογισμικό κατασκοπείας δημιουργεί μια σύνδεση με έναν διακομιστή εντολών και ελέγχου (C2) και προχωρά στην αποστολή πληροφοριών σχετικά με την παραβιασμένη συσκευή, συμπεριλαμβανομένου του IMEI, του αριθμού τηλεφώνου, του κωδικού χώρας κινητής τηλεφωνίας και του κωδικού δικτύου κινητής τηλεφωνίας. Το CanesSpy στέλνει επίσης περιοδικά δεδομένα σχετικά με τις επαφές και τους λογαριασμούς του θύματος κάθε πέντε λεπτά, εκτός από την αναμονή για περαιτέρω οδηγίες από τον διακομιστή C2 κάθε λεπτό, μια ρύθμιση που μπορεί να προσαρμοστεί.
Το λογισμικό υποκλοπής μπορεί επίσης να στέλνει αρχεία από εξωτερικό χώρο αποθήκευσης (π.χ. αφαιρούμενη κάρτα SD), να εγγράφει ήχο από το μικρόφωνο της συσκευής, να μεταδίδει δεδομένα σχετικά με τη διαμόρφωση του λογισμικού κατασκοπείας και να τροποποιεί τις λεπτομέρειες του διακομιστή C2. Το γεγονός ότι οι επικοινωνίες με τον διακομιστή C2 είναι όλες στα αραβικά υποδηλώνει ότι ο υπεύθυνος προγραμματιστής για αυτήν τη λειτουργία είναι πιθανώς ομιλητής των αραβικών.
Περαιτέρω ανάλυση αποκαλύπτει ότι αυτή η εκστρατεία spyware είναι ενεργή από τα μέσα Αυγούστου 2023 και έχει στοχεύσει κυρίως χώρες όπως το Αζερμπαϊτζάν, η Σαουδική Αραβία, η Υεμένη, η Τουρκία και η Αίγυπτος.
