CanesSpy skadelig programvare inkludert i modifiserte apper

En gruppe cybersikkerhetseksperter har oppdaget flere modifiserte versjoner av WhatsApp for Android som inkluderer en spyware-komponent kalt CanesSpy. Disse endrede versjonene av den populære meldingsappen har vist seg å være distribuert gjennom tvilsomme nettsteder som annonserer slik programvare, samt Telegram-kanaler som hovedsakelig brukes av arabisk- og aserbajdsjansktalende, hvorav en har en brukerbase på 2 millioner mennesker.

Forskerne har identifisert mistenkelige elementer i den modifiserte klientens kode, nærmere bestemt en tjeneste og en kringkastingsmottaker, som ikke finnes i den originale WhatsApp-klienten. Disse tilleggene er spesielt utformet for å aktivere spionvaremodulen når telefonen er slått på eller når den begynner å lades.

CanesSpys driftsmodus

Ved aktivering oppretter spionvaren en forbindelse med en kommando-og-kontroll-server (C2) og fortsetter med å sende informasjon om den kompromitterte enheten, inkludert IMEI, telefonnummer, mobillandskode og mobilnettverkskode. CanesSpy sender også med jevne mellomrom data om offerets kontakter og kontoer hvert femte minutt, i tillegg til å vente på ytterligere instruksjoner fra C2-serveren hvert minutt, en innstilling som kan tilpasses.

Spionvaren er også i stand til å sende filer fra ekstern lagring (f.eks. et flyttbart SD-kort), ta opp lyd fra enhetens mikrofon, overføre data om spionvarens konfigurasjon og endre C2-serverdetaljene. Det faktum at kommunikasjonen med C2-serveren er på arabisk antyder at utvikleren som er ansvarlig for denne operasjonen sannsynligvis er en arabisk høyttaler.

Ytterligere analyse avslører at denne spyware-kampanjen har vært aktiv siden midten av august 2023 og har primært rettet seg mot land som Aserbajdsjan, Saudi-Arabia, Jemen, Tyrkia og Egypt.