Złośliwe oprogramowanie CanesSpy zawarte w zmodyfikowanych aplikacjach

Grupa ekspertów ds. cyberbezpieczeństwa odkryła kilka zmodyfikowanych wersji WhatsApp dla Androida, które zawierają komponent spyware o nazwie CanesSpy. Stwierdzono, że te zmienione wersje popularnej aplikacji do przesyłania wiadomości są dystrybuowane za pośrednictwem podejrzanych witryn internetowych reklamujących takie oprogramowanie, a także kanałów Telegramu, z których korzystają głównie osoby posługujące się językiem arabskim i azerbejdżańskim, z których jeden ma bazę użytkowników liczącą 2 miliony osób.

Badacze zidentyfikowali podejrzane elementy w kodzie zmodyfikowanego klienta, w szczególności usługę i odbiornik transmisji, których nie było w oryginalnym kliencie WhatsApp. Dodatki te zostały specjalnie zaprojektowane, aby aktywować moduł oprogramowania szpiegującego, gdy telefon jest włączony lub gdy rozpoczyna się jego ładowanie.

Tryb działania CanesSpy

Po aktywacji oprogramowanie szpiegujące nawiązuje połączenie z serwerem dowodzenia i kontroli (C2) i wysyła informacje o zaatakowanym urządzeniu, w tym numer IMEI, numer telefonu, kod kraju i kod sieci komórkowej. CanesSpy wysyła również okresowo dane o kontaktach i kontach ofiary co pięć minut, a także co minutę czeka na dalsze instrukcje z serwera C2, co można dostosować.

Oprogramowanie szpiegujące może także wysyłać pliki z pamięci zewnętrznej (np. wymiennej karty SD), nagrywać dźwięk z mikrofonu urządzenia, przesyłać dane o konfiguracji oprogramowania szpiegującego i modyfikować szczegóły serwera C2. Fakt, że cała komunikacja z serwerem C2 odbywa się w języku arabskim, sugeruje, że programista odpowiedzialny za tę operację prawdopodobnie mówi po arabsku.

Z dalszej analizy wynika, że ta kampania dotycząca oprogramowania szpiegującego była aktywna od połowy sierpnia 2023 r. i była skierowana głównie do takich krajów, jak Azerbejdżan, Arabia Saudyjska, Jemen, Turcja i Egipt.