Вредоносное ПО CanesSpy включено в модифицированные приложения
![](https://www.cyclonis.com/images/2021/08/littlelootermalware-765x510.jpg)
Группа экспертов по кибербезопасности обнаружила несколько модифицированных версий WhatsApp для Android, содержащих шпионский компонент CanesSpy. Было обнаружено, что эти измененные версии популярного приложения для обмена сообщениями распространяются через сомнительные веб-сайты, рекламирующие такое программное обеспечение, а также каналы Telegram, используемые в основном арабскими и азербайджанскими носителями, база пользователей одного из которых составляет 2 миллиона человек.
Исследователи выявили подозрительные элементы в коде модифицированного клиента, в частности службу и приемник широковещательных сообщений, которых нет в исходном клиенте WhatsApp. Эти дополнения специально предназначены для активации шпионского модуля при включении телефона или начале его зарядки.
Режим работы CanesSpy
После активации шпионское ПО устанавливает соединение с сервером управления (C2) и приступает к отправке информации о взломанном устройстве, включая IMEI, номер телефона, код страны мобильного телефона и код мобильной сети. CanesSpy также периодически отправляет данные о контактах и учетных записях жертвы каждые пять минут, а также каждую минуту ожидает дальнейших инструкций от сервера C2 — параметр, который можно настроить.
Шпионское ПО также способно отправлять файлы с внешнего хранилища (например, съемной SD-карты), записывать звук с микрофона устройства, передавать данные о конфигурации шпионского ПО и изменять данные сервера C2. Тот факт, что вся связь с сервером C2 ведется на арабском языке, позволяет предположить, что разработчик, ответственный за эту операцию, скорее всего, говорит по-арабски.
Дальнейший анализ показывает, что эта шпионская кампания активна с середины августа 2023 года и в первую очередь нацелена на такие страны, как Азербайджан, Саудовская Аравия, Йемен, Турция и Египет.