„CanesSpy“ kenkėjiška programa, įtraukta į pakeistas programas

Kibernetinio saugumo ekspertų grupė atrado keletą modifikuotų „WhatsApp for Android“ versijų, kuriose yra šnipinėjimo programų komponentas, pavadintas „CanesSpy“. Nustatyta, kad šios pakeistos populiarios susirašinėjimo programėlės versijos platinamos per abejotinus tinklalapius, reklamuojančius tokią programinę įrangą, taip pat per Telegram kanalus, dažniausiai naudojamus arabų ir azerbaidžaniečių kalbų kalbančių žmonių, kurių vieno vartotojų skaičius siekia 2 mln.

Mokslininkai aptiko įtartinų modifikuoto kliento kodo elementų, ypač paslaugos ir transliacijos imtuvo, kurių nėra pradiniame WhatsApp kliente. Šie priedai yra specialiai sukurti siekiant suaktyvinti šnipinėjimo programų modulį, kai telefonas įjungiamas arba pradedamas krauti.

„CanesSpy“ veikimo režimas

Suaktyvinus, šnipinėjimo programa užmezga ryšį su komandų ir valdymo (C2) serveriu ir siunčia informaciją apie pažeistą įrenginį, įskaitant IMEI, telefono numerį, mobiliojo ryšio šalies kodą ir mobiliojo ryšio tinklo kodą. „CanesSpy“ taip pat periodiškai siunčia duomenis apie aukos kontaktus ir paskyras kas penkias minutes, be to, kas minutę laukia tolesnių nurodymų iš C2 serverio – šį nustatymą galima pritaikyti.

Šnipinėjimo programa taip pat gali siųsti failus iš išorinės atminties (pvz., išimamos SD kortelės), įrašyti garsą iš įrenginio mikrofono, perduoti duomenis apie šnipinėjimo programos konfigūraciją ir modifikuoti C2 serverio duomenis. Tai, kad ryšiai su C2 serveriu vyksta arabų kalba, rodo, kad už šią operaciją atsakingas kūrėjas greičiausiai yra arabų kalba.

Tolesnė analizė atskleidžia, kad ši šnipinėjimo programų kampanija buvo aktyvi nuo 2023 m. rugpjūčio vidurio ir pirmiausia buvo skirta tokioms šalims kaip Azerbaidžanas, Saudo Arabija, Jemenas, Turkija ir Egiptas.