CanesSpy rosszindulatú program a módosított alkalmazásokban

Kiberbiztonsági szakértők egy csoportja felfedezte a WhatsApp for Android több módosított verzióját, amelyek egy CanesSpy nevű kémprogram-összetevőt tartalmaznak. A népszerű üzenetküldő alkalmazás ezen módosított verzióiról kiderült, hogy az ilyen szoftvereket hirdető, megkérdőjelezhető weboldalakon, valamint a főként arab és azerbajdzsáni nyelvet beszélők által használt Telegram-csatornákon keresztül terjesztették, amelyek egyikének felhasználói bázisa 2 millió fő.

A kutatók gyanús elemeket azonosítottak a módosított kliens kódjában, konkrétan egy szolgáltatást és egy műsorszóró vevőt, amelyek az eredeti WhatsApp kliensben nem találhatók meg. Ezeket a kiegészítéseket kifejezetten a spyware modul aktiválására tervezték, amikor a telefon be van kapcsolva, vagy amikor elkezdődik a töltés.

A CanesSpy működési módja

Az aktiválás után a kémprogram kapcsolatot létesít egy parancs- és vezérlő (C2) szerverrel, és információkat küld a feltört eszközről, beleértve az IMEI-t, a telefonszámot, a mobil országkódját és a mobilhálózat kódját. A CanesSpy időnként ötpercenként küld adatokat az áldozat kapcsolatairól és fiókjairól is, emellett percenként várja a további utasításokat a C2 szervertől, ez a beállítás testreszabható.

A spyware emellett képes fájlokat küldeni külső tárolóról (pl. cserélhető SD-kártyáról), hangot rögzíteni az eszköz mikrofonjáról, adatokat továbbítani a kémprogram konfigurációjáról és módosítani a C2 szerver adatait. Az a tény, hogy a C2 szerverrel folytatott kommunikáció arab nyelven zajlik, arra utal, hogy a műveletért felelős fejlesztő valószínűleg arabul beszél.

A további elemzések azt mutatják, hogy ez a kémprogram-kampány 2023. augusztus közepe óta aktív, és elsősorban olyan országokat céloz meg, mint Azerbajdzsán, Szaúd-Arábia, Jemen, Törökország és Egyiptom.