Phần mềm gián điệp CanesSpy được phát hiện trong các phiên bản WhatsApp đã sửa đổi

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một số bản mod WhatsApp dành cho Android được trang bị mô-đun phần mềm gián điệp có tên CanesSpy.

Các phiên bản sửa đổi này của ứng dụng nhắn tin tức thời đã được quan sát thấy lan truyền thông qua các trang web sơ sài quảng cáo phần mềm đã sửa đổi như vậy cũng như các kênh Telegram được sử dụng chủ yếu bởi những người nói tiếng Ả Rập và tiếng Azerbaijan, một trong số đó tự hào có hai triệu người dùng.

Nhà nghiên cứu bảo mật của Kaspersky, Dmitry Kalinin cho biết: “Bản kê khai ứng dụng khách bị trojan hóa chứa các thành phần đáng ngờ (dịch vụ và bộ thu phát sóng) không thể tìm thấy trong ứng dụng khách WhatsApp gốc”.

Cụ thể, những bổ sung mới được thiết kế để kích hoạt mô-đun phần mềm gián điệp khi điện thoại được bật hoặc bắt đầu sạc.

Sau đó, nó tiến hành thiết lập liên lạc với máy chủ ra lệnh và kiểm soát (C2), sau đó gửi thông tin về thiết bị bị xâm nhập, chẳng hạn như IMEI, số điện thoại, mã quốc gia di động và mã mạng di động.

CanesSpy cũng truyền thông tin chi tiết về danh bạ và tài khoản của nạn nhân cứ sau 5 phút, ngoài việc chờ hướng dẫn thêm từ máy chủ C2 mỗi phút, một cài đặt có thể được cấu hình lại.

Điều này bao gồm gửi tệp từ bộ nhớ ngoài (ví dụ: thẻ SD có thể tháo rời), danh bạ, ghi âm từ micrô, gửi dữ liệu về cấu hình bộ cấy và thay đổi máy chủ C2.

Thực tế là các tin nhắn được gửi đến máy chủ C2 đều bằng tiếng Ả Rập cho thấy rằng nhà phát triển đằng sau hoạt động này là một người nói tiếng Ả Rập.

Phân tích sâu hơn về hoạt động này cho thấy phần mềm gián điệp này đã hoạt động từ giữa tháng 8 năm 2023, với chiến dịch chủ yếu nhắm vào Azerbaijan, Ả Rập Saudi, Yemen, Thổ Nhĩ Kỳ và Ai Cập.

Sự phát triển này đánh dấu việc tiếp tục lạm dụng các phiên bản sửa đổi của dịch vụ nhắn tin như Telegram và WhatsApp để phát tán phần mềm độc hại cho những người dùng không nghi ngờ.

Về phần mình, WhatsApp coi các phiên bản không chính thức và của bên thứ ba là giả mạo, cảnh báo rằng “chúng tôi không thể xác thực các biện pháp bảo mật của họ” và việc sử dụng chúng có thể gây ra nguy cơ mang phần mềm độc hại có thể vi phạm quyền riêng tư và bảo mật của khách hàng.

Năm ngoái, công ty thuộc sở hữu của Meta cũng đã đệ đơn kiện ba nhà phát triển ở Trung Quốc và Đài Loan vì phân phối các ứng dụng WhatsApp không chính thức, bao gồm HeyMods, dẫn đến hơn một triệu tài khoản người dùng bị xâm phạm.

Kalinin cho biết: “Các mod WhatsApp hầu hết được phân phối thông qua các cửa hàng ứng dụng Android của bên thứ ba, thường thiếu tính năng sàng lọc và không thể gỡ bỏ phần mềm độc hại”. “Một số tài nguyên này, chẳng hạn như các cửa hàng ứng dụng của bên thứ ba và các kênh Telegram, có mức độ phổ biến đáng kể, nhưng điều đó không đảm bảo an toàn.”

Hương – Theo TheHackerNews