修改后的应用程序中包含 CanesSpy 恶意软件
一组网络安全专家发现了 Android 版 WhatsApp 的多个修改版本,其中包含名为 CanesSpy 的间谍软件组件。人们发现,流行消息应用程序的这些修改版本是通过可疑的广告此类软件的网站以及主要由阿拉伯语和阿塞拜疆语使用者使用的 Telegram 频道传播的,其中一个频道拥有 200 万人的用户群。
研究人员在修改后的客户端代码中发现了可疑元素,特别是原始 WhatsApp 客户端中不存在的服务和广播接收器。这些附加功能专门设计用于在手机开机或开始充电时激活间谍软件模块。
CanesSpy 的操作模式
激活后,间谍软件会与命令和控制 (C2) 服务器建立连接,并继续发送有关受感染设备的信息,包括 IMEI、电话号码、移动国家/地区代码和移动网络代码。 CanesSpy 还定期每五分钟发送有关受害者的联系人和帐户的数据,此外每分钟等待 C2 服务器的进一步指令(这是一个可以自定义的设置)。
该间谍软件还能够从外部存储(例如可移动 SD 卡)发送文件、从设备的麦克风录制音频、传输有关间谍软件配置的数据以及修改 C2 服务器详细信息。与 C2 服务器的通信全部使用阿拉伯语,这一事实表明负责此操作的开发人员很可能会讲阿拉伯语。
进一步分析显示,该间谍软件活动自 2023 年 8 月中旬以来一直活跃,主要针对阿塞拜疆、沙特阿拉伯、也门、土耳其和埃及等国家。
November 3, 2023
