Вредоносное ПО CanesSpy включено в модифицированные приложения

Группа экспертов по кибербезопасности обнаружила несколько модифицированных версий WhatsApp для Android, содержащих шпионский компонент CanesSpy. Было обнаружено, что эти измененные версии популярного приложения для обмена сообщениями распространяются через сомнительные веб-сайты, рекламирующие такое программное обеспечение, а также каналы Telegram, используемые в основном арабскими и азербайджанскими носителями, база пользователей одного из которых составляет 2 миллиона человек.

Исследователи выявили подозрительные элементы в коде модифицированного клиента, в частности службу и приемник широковещательных сообщений, которых нет в исходном клиенте WhatsApp. Эти дополнения специально предназначены для активации шпионского модуля при включении телефона или начале его зарядки.

Режим работы CanesSpy

После активации шпионское ПО устанавливает соединение с сервером управления (C2) и приступает к отправке информации о взломанном устройстве, включая IMEI, номер телефона, код страны мобильного телефона и код мобильной сети. CanesSpy также периодически отправляет данные о контактах и учетных записях жертвы каждые пять минут, а также каждую минуту ожидает дальнейших инструкций от сервера C2 — параметр, который можно настроить.

Шпионское ПО также способно отправлять файлы с внешнего хранилища (например, съемной SD-карты), записывать звук с микрофона устройства, передавать данные о конфигурации шпионского ПО и изменять данные сервера C2. Тот факт, что вся связь с сервером C2 ведется на арабском языке, позволяет предположить, что разработчик, ответственный за эту операцию, скорее всего, говорит по-арабски.

Дальнейший анализ показывает, что эта шпионская кампания активна с середины августа 2023 года и в первую очередь нацелена на такие страны, как Азербайджан, Саудовская Аравия, Йемен, Турция и Египет.