03/11/23
Специалисты Лаборатории Касперского выявили троянский модуль в модификациях популярного мессенджера WhatsApp, который активно распространяется через Telegram-каналы. Шпионское ПО получило название CanesSpy. Под видом обычного мессенджера, зараженные версии для Android содержат скрытые функции отслеживания, пишет Securitylab.
Об этом стало известно после тщательного анализа манифеста приложения, где были найдены несоответствия оригинальной версии: добавленные сторонний сервис и ресивер (приемник широковещательных сообщений), отсутствующие в легитимном приложении.
Ресивер (Broadcast Receiver), настроенный на прослушивание системных событий, таких как подключение устройства к зарядке или получение SMS, активирует сервис, который запускает работу шпионского модуля. Затем вредоносный код устанавливает связь с сервером управления и контроля (Command and Control, C2), на который передаётся информация об устройстве жертвы, включая IMEI, номер телефона и другие идентификаторы. Кроме того, шпионское ПО каждые 5 минут отправляет данные о контактах и аккаунтах жертвы.
В ходе дальнейшей работы вредоносное ПО через заданные интервалы времени запрашивает у C2-сервера новые команды для выполнения действий на зараженном устройстве. Аналитики обнаружили, что команды на сервере были написаны на арабском языке, что указывает на возможное арабоязычное происхождение разработчика вредоноса.
Расследование показало, что основным каналом распространения модифицированного WhatsApp являются Telegram-каналы, содержащие тексты преимущественно на арабском и азербайджанском языках. Наиболее популярные каналы насчитывают почти 2 миллиона пользователей. Создатели каналов были предупреждены о наличии вредоносных программ в их материалах.
Эксперты отмечают, что шпионские модули были активированы с середины августа 2023 года, и все версии программы, загруженные с того времени, содержали вредоносный код. Тем не менее, в одном из каналов последняя версия вирусной модификации была заменена на оригинальную. Кроме Telegram-каналов, заражённые версии мессенджера также распространяются на сайтах, специализирующимся на модификациях WhatsApp.
В период с 5 по 31 октября Лаборатория Касперского заблокировала более 340 000 попыток атак через модифицированный WhatsApp в более чем 100 государств по всему миру. Тем не менее, учитывая методы распространения, фактическое число установок шпионских модификаций может оказаться значительно выше. В список пятерки стран с наибольшим количеством атак входят Азербайджан, Йемен, Саудовская Аравия, Египет и Турция.
