Malware CanesSpy incluído em aplicativos modificados

Um grupo de especialistas em segurança cibernética descobriu várias versões modificadas do WhatsApp para Android que incluem um componente de spyware chamado CanesSpy. Descobriu-se que essas versões alteradas do popular aplicativo de mensagens são distribuídas através de sites questionáveis que anunciam esse software, bem como canais do Telegram usados principalmente por falantes de árabe e do Azerbaijão, um dos quais tem uma base de usuários de 2 milhões de pessoas.

Os pesquisadores identificaram elementos suspeitos no código do cliente modificado, especificamente um serviço e um receptor de transmissão, que não estão presentes no cliente WhatsApp original. Essas adições são projetadas especificamente para ativar o módulo de spyware quando o telefone é ligado ou quando começa a carregar.

Modo de operação do CanesSpy

Após a ativação, o spyware estabelece uma conexão com um servidor de comando e controle (C2) e envia informações sobre o dispositivo comprometido, incluindo IMEI, número de telefone, código do país do celular e código da rede móvel. O CanesSpy também envia periodicamente dados sobre os contatos e contas da vítima a cada cinco minutos, além de aguardar novas instruções do servidor C2 a cada minuto, configuração que pode ser customizada.

O spyware também é capaz de enviar arquivos de armazenamento externo (por exemplo, um cartão SD removível), gravar áudio do microfone do dispositivo, transmitir dados sobre a configuração do spyware e modificar os detalhes do servidor C2. O fato de as comunicações com o servidor C2 serem todas em árabe sugere que o desenvolvedor responsável por esta operação provavelmente fala árabe.

Uma análise mais aprofundada revela que esta campanha de spyware está activa desde meados de Agosto de 2023 e tem como alvo principalmente países como o Azerbaijão, a Arábia Saudita, o Iémen, a Turquia e o Egipto.