Malware CanesSpy incluso nelle app modificate

Un gruppo di esperti di sicurezza informatica ha scoperto diverse versioni modificate di WhatsApp per Android che includono un componente spyware chiamato CanesSpy. Si è scoperto che queste versioni alterate della popolare app di messaggistica sono distribuite attraverso siti Web discutibili che pubblicizzano tale software, nonché canali Telegram utilizzati principalmente da persone di lingua araba e azera, uno dei quali ha una base di utenti di 2 milioni di persone.

I ricercatori hanno identificato elementi sospetti nel codice del client modificato, in particolare un servizio e un ricevitore di trasmissione, che non erano presenti nel client WhatsApp originale. Queste aggiunte sono progettate specificatamente per attivare il modulo spyware quando il telefono è acceso o quando inizia a caricarsi.

Modalità operativa di CanesSpy

Dopo l'attivazione, lo spyware stabilisce una connessione con un server di comando e controllo (C2) e procede all'invio di informazioni sul dispositivo compromesso, inclusi IMEI, numero di telefono, prefisso internazionale e codice di rete mobile. CanesSpy inoltre invia periodicamente ogni cinque minuti i dati sui contatti e sugli account della vittima, oltre ad attendere ogni minuto ulteriori istruzioni dal server C2, un'impostazione che può essere personalizzata.

Lo spyware è anche in grado di inviare file da dispositivi di archiviazione esterni (ad esempio, una scheda SD rimovibile), registrare l'audio dal microfono del dispositivo, trasmettere dati sulla configurazione dello spyware e modificare i dettagli del server C2. Il fatto che le comunicazioni con il server C2 avvengano tutte in arabo suggerisce che lo sviluppatore responsabile di questa operazione sia probabilmente di lingua araba.

Ulteriori analisi rivelano che questa campagna spyware è attiva da metà agosto 2023 e ha preso di mira principalmente paesi come Azerbaigian, Arabia Saudita, Yemen, Turchia ed Egitto.