修改後的應用程式中包含 CanesSpy 惡意軟體
一群網路安全專家發現了 Android 版 WhatsApp 的多個修改版本,其中包含名為 CanesSpy 的間諜軟體元件。人們發現,這些流行訊息應用程式的修改版本是透過可疑的廣告此類軟體的網站以及主要由阿拉伯語和阿塞拜疆語使用者使用的 Telegram 頻道傳播的,其中一個頻道擁有 200 萬人的用戶群。
研究人員在修改後的用戶端程式碼中發現了可疑元素,特別是原始 WhatsApp 用戶端中不存在的服務和廣播接收器。這些附加功能專門設計用於在手機開機或開始充電時啟動間諜軟體模組。
CanesSpy 的操作模式
啟動後,間諜軟體會與命令和控制 (C2) 伺服器建立連接,並繼續發送有關受感染設備的信息,包括 IMEI、電話號碼、行動國家/地區代碼和行動網路代碼。 CanesSpy 還定期每五分鐘發送有關受害者的聯絡人和帳戶的數據,此外每分鐘等待 C2 伺服器的進一步指令(這是一個可以自訂的設定)。
該間諜軟體還能夠從外部儲存(例如可移動 SD 卡)發送檔案、從裝置的麥克風錄製音訊、傳輸有關間諜軟體配置的資料以及修改 C2 伺服器詳細資訊。與 C2 伺服器的通訊全部使用阿拉伯語,這一事實表明負責此操作的開發人員很可能會講阿拉伯語。
進一步分析顯示,該間諜軟體活動自 2023 年 8 月中旬以來一直活躍,主要針對亞塞拜然、沙烏地阿拉伯、葉門、土耳其和埃及等國家。
November 3, 2023
