CanesSpy Malware ingår i modifierade appar

En grupp cybersäkerhetsexperter har upptäckt flera modifierade versioner av WhatsApp för Android som inkluderar en spionprogramkomponent som heter CanesSpy. Dessa ändrade versioner av den populära meddelandeappen har visat sig distribueras via tvivelaktiga webbplatser som annonserar sådan programvara, såväl som Telegram-kanaler som huvudsakligen används av arabiska och azerbajdzjansktalande, varav en har en användarbas på 2 miljoner människor.

Forskarna har identifierat misstänkta element i den modifierade klientens kod, specifikt en tjänst och en sändningsmottagare, som inte finns i den ursprungliga WhatsApp-klienten. Dessa tillägg är speciellt utformade för att aktivera spionprogrammodulen när telefonen slås på eller när den börjar laddas.

CanesSpys funktionssätt

Vid aktivering upprättar spionprogrammet en anslutning till en kommando-och-kontroll-server (C2) och fortsätter att skicka information om den komprometterade enheten, inklusive IMEI, telefonnummer, mobil landskod och mobilnätverkskod. CanesSpy skickar också med jämna mellanrum data om offrets kontakter och konton var femte minut, förutom att vänta på ytterligare instruktioner från C2-servern varje minut, en inställning som kan anpassas.

Spionprogrammet kan också skicka filer från extern lagring (t.ex. ett flyttbart SD-kort), spela in ljud från enhetens mikrofon, överföra data om spionprogrammets konfiguration och modifiera C2-serverns detaljer. Det faktum att kommunikationen med C2-servern är på arabiska tyder på att utvecklaren som ansvarar för denna operation troligen är en arabisktalande.

Ytterligare analys avslöjar att denna spionprogramkampanj har varit aktiv sedan mitten av augusti 2023 och främst har riktat sig mot länder som Azerbajdzjan, Saudiarabien, Jemen, Turkiet och Egypten.