CanesSpy-malware opgenomen in aangepaste apps
Een groep cyberbeveiligingsexperts heeft verschillende aangepaste versies van WhatsApp voor Android ontdekt die een spywarecomponent bevatten met de naam CanesSpy. Deze gewijzigde versies van de populaire berichten-app blijken te worden verspreid via dubieuze websites die reclame maken voor dergelijke software, evenals via Telegram-kanalen die voornamelijk worden gebruikt door Arabisch- en Azerbeidzjaanse sprekers, waarvan er één een gebruikersbestand van 2 miljoen mensen heeft.
De onderzoekers hebben verdachte elementen in de gewijzigde clientcode geïdentificeerd, met name een dienst en een uitzendingsontvanger, die niet aanwezig zijn in de oorspronkelijke WhatsApp-client. Deze toevoegingen zijn specifiek ontworpen om de spywaremodule te activeren wanneer de telefoon wordt ingeschakeld of begint met opladen.
De werkingsmodus van CanesSpy
Na activering brengt de spyware een verbinding tot stand met een command-and-control (C2)-server en verzendt vervolgens informatie over het aangetaste apparaat, waaronder de IMEI, het telefoonnummer, de mobiele landcode en de mobiele netwerkcode. CanesSpy verzendt ook periodiek elke vijf minuten gegevens over de contacten en accounts van het slachtoffer, naast het elke minuut wachten op verdere instructies van de C2-server, een instelling die kan worden aangepast.
De spyware kan ook bestanden verzenden vanaf externe opslag (bijvoorbeeld een verwijderbare SD-kaart), audio opnemen via de microfoon van het apparaat, gegevens over de configuratie van de spyware verzenden en de C2-servergegevens wijzigen. Het feit dat de communicatie met de C2-server allemaal in het Arabisch verloopt, suggereert dat de ontwikkelaar die verantwoordelijk is voor deze operatie waarschijnlijk Arabisch spreekt.
Uit verdere analyse blijkt dat deze spywarecampagne sinds medio augustus 2023 actief is en zich vooral heeft gericht op landen als Azerbeidzjan, Saoedi-Arabië, Jemen, Turkije en Egypte.