改変されたアプリに含まれるCanesSpyマルウェア
サイバーセキュリティ専門家のグループは、CanesSpy という名前のスパイウェア コンポーネントを含む、Android 用 WhatsApp のいくつかの修正バージョンを発見しました。人気のメッセージング アプリのこれらの改変バージョンは、そのようなソフトウェアを宣伝する疑わしい Web サイトや、主にアラビア語とアゼルバイジャン語を話す人々が使用する Telegram チャネルを通じて配布されていることが判明しており、そのうちの 1 つは 200 万人のユーザー ベースを持っています。
研究者らは、変更されたクライアントのコード内に、元の WhatsApp クライアントには存在しない不審な要素、具体的にはサービスとブロードキャスト レシーバーを特定しました。これらの追加機能は、電話機の電源がオンになったとき、または充電が開始されたときにスパイウェア モジュールをアクティブ化するように特別に設計されています。
CanesSpy の動作モード
スパイウェアはアクティブ化されると、コマンド アンド コントロール (C2) サーバーとの接続を確立し、IMEI、電話番号、モバイル国コード、モバイル ネットワーク コードなど、侵害されたデバイスに関する情報の送信を開始します。 CanesSpy は、被害者の連絡先とアカウントに関するデータを 5 分ごとに定期的に送信するほか、C2 サーバーからの指示を毎分待機します。この設定はカスタマイズ可能です。
このスパイウェアは、外部ストレージ (リムーバブル SD カードなど) からファイルを送信したり、デバイスのマイクから音声を録音したり、スパイウェアの構成に関するデータを送信したり、C2 サーバーの詳細を変更したりすることもできます。 C2 サーバーとの通信がすべてアラビア語で行われているという事実は、この操作を担当した開発者がアラビア語を話す可能性が高いことを示唆しています。
さらに分析すると、このスパイウェア キャンペーンは 2023 年 8 月中旬から活動しており、主にアゼルバイジャン、サウジアラビア、イエメン、トルコ、エジプトなどの国をターゲットにしていることが明らかになりました。