Специалисты по кибербезопасности обнаружили ряд модов WhatsApp для Android, которые оснащены шпионским модулем, получившим название CanesSpy.
Было замечено, что эти модифицированные версии приложения для обмена мгновенными сообщениями распространяются через сомнительные веб-сайты, рекламирующие такое программное обеспечение, а также каналы Telegram, используемые в основном носителями арабского и азербайджанского языков, один из которых насчитывает 2 миллиона пользователей.
"Манифест троянского клиента содержит подозрительные компоненты (службу и широковещательный приемник), которые не могут быть найдены в оригинальном клиенте WhatsApp", - сказал исследователь Kaspersky security Дмитрий Калинин.
В частности, новые дополнения предназначены для активации шпионского модуля при включении телефона или начале зарядки.
Затем он устанавливает контакт с командно-контрольным сервером (C2), после чего передает информацию о миссии скомпрометированного устройства, такую как IMEI, номер телефона, код страны мобильной связи и код мобильной сети.
CanesSpy также передает подробную информацию о контактах и учетных записях жертвы каждые пять минут, в дополнение к ожиданию дальнейших инструкций от сервера C2 каждую минуту, параметр, который может быть перенастроен.
Сюда входят файлы миссии с внешнего хранилища (например, съемная SD-карта shaped holds), контакты, запись звука с микрофона, данные миссии о конфигурации имплантата и изменение серверов C2.
Тот факт, что все сообщения, отправляемые на сервер C2, написаны на арабском языке, указывает на то, что разработчик, стоящий за операцией, владеет арабским языком.
Дальнейший анализ операции показывает, что шпионское ПО активно работает с середины августа 2023 года, причем кампания в основном нацелена на Азербайджан, Саудовскую Аравию, Йемен, Турцию и Египет.
Разработка отмечает продолжающееся злоупотребление или модифицированные версии сервисов обмена сообщениями, таких как Telegram и WhatsApp, для распространения вредоносного ПО среди ничего не подозревающих пользователей.
"Моды WhatsApp в основном распространяются через сторонние магазины приложений для Android, в которых часто отсутствует проверка и не удается удалить вредоносное ПО", - сказал Калинин. "Некоторые из этих ресурсов, такие как сторонние магазины приложений и Telegram-каналы, пользуются значительной популярностью, но это не является гарантией безопасности".
Было замечено, что эти модифицированные версии приложения для обмена мгновенными сообщениями распространяются через сомнительные веб-сайты, рекламирующие такое программное обеспечение, а также каналы Telegram, используемые в основном носителями арабского и азербайджанского языков, один из которых насчитывает 2 миллиона пользователей.
"Манифест троянского клиента содержит подозрительные компоненты (службу и широковещательный приемник), которые не могут быть найдены в оригинальном клиенте WhatsApp", - сказал исследователь Kaspersky security Дмитрий Калинин.
В частности, новые дополнения предназначены для активации шпионского модуля при включении телефона или начале зарядки.
Затем он устанавливает контакт с командно-контрольным сервером (C2), после чего передает информацию о миссии скомпрометированного устройства, такую как IMEI, номер телефона, код страны мобильной связи и код мобильной сети.
CanesSpy также передает подробную информацию о контактах и учетных записях жертвы каждые пять минут, в дополнение к ожиданию дальнейших инструкций от сервера C2 каждую минуту, параметр, который может быть перенастроен.
Сюда входят файлы миссии с внешнего хранилища (например, съемная SD-карта shaped holds), контакты, запись звука с микрофона, данные миссии о конфигурации имплантата и изменение серверов C2.
Тот факт, что все сообщения, отправляемые на сервер C2, написаны на арабском языке, указывает на то, что разработчик, стоящий за операцией, владеет арабским языком.
Дальнейший анализ операции показывает, что шпионское ПО активно работает с середины августа 2023 года, причем кампания в основном нацелена на Азербайджан, Саудовскую Аравию, Йемен, Турцию и Египет.
Разработка отмечает продолжающееся злоупотребление или модифицированные версии сервисов обмена сообщениями, таких как Telegram и WhatsApp, для распространения вредоносного ПО среди ничего не подозревающих пользователей.
"Моды WhatsApp в основном распространяются через сторонние магазины приложений для Android, в которых часто отсутствует проверка и не удается удалить вредоносное ПО", - сказал Калинин. "Некоторые из этих ресурсов, такие как сторонние магазины приложений и Telegram-каналы, пользуются значительной популярностью, но это не является гарантией безопасности".
