В WhatsApp в нескольких, ранее безобидных, модах был обнаружен шпионский модуль, который Kaspersky Lab определяет как Trojan-Spy.AndroidOS.CanesSpy.
Манифест троянизированного клиента содержит подозрительные компоненты (сервис и широковещательный приемник), которых нет в оригинальном клиенте WhatsApp. Приемник широковещательных сообщений прослушивает сообщения от системы и других приложений, например, телефон начал заряжаться, получено текстовое сообщение или загрузчик завершил загрузку. Когда приемник получает подобное сообщение, он вызывает обработчик события. В шпионском модуле WhatsApp приемник запускает сервис, который запускает шпионский модуль при включении телефона или начале зарядки.
Сервис обращается к константе Application_DM в коде вредоносной программы для выбора командно-контрольного (C&C) сервера, с которым в дальнейшем будет связываться зараженное устройство.
При запуске вредоносный имплант отправляет POST-запрос, содержащий информацию об устройстве, на сервер оператора угроз по пути /api/v1/AllRequest. Эта информация включает IMEI, номер телефона, код страны, код мобильной сети и т.д. Троянец также запрашивает данные о конфигурации, такие как пути загрузки различных типов данных, интервалы между запросами к C&C и т.д. Кроме того, каждые пять минут модуль передает информацию о контактах и учетных записях жертвы.
После успешной загрузки информации об устройстве вредоносная программа начинает запрашивать у C&C инструкции, которые разработчики называют "приказами", через заранее настроенные интервалы времени (по умолчанию - одна минута).
Обнаружив шпионские модули внутри модов WhatsApp, Kaspersky Lab решили выяснить, как они распространяются. Анализ статистики указал на Telegram как на основной источник. Kaspersky Lab обнаружили множество Telegram-каналов, в основном на арабском и азербайджанском языках.
Indicators of Compromise
URLs
- https://android-soft-store.com
- https://application-marketing.com
- https://goldnwhats.app
- https://omarwhats.app
- https://watsabplusgold.com
- https://whatsagold.app
- https://whats-mate.com
- https://whats-mate.net
- https://whats-media.com
- https://whats-mydns.com
- https://whats-mydns.net
- https://whatsupdates.com
- https://whats-vpn.com
- https://whats-vpn.net
- https://www.3ssem.com
- https://www.whatsgold.app
MD5
- 19c489bcd11d7eb84e0ade091889c913
- 1db5c057a441b10b915dbb14bba99e72
- 3fda123f66fa86958597018e409e42c0
- 80d7f95b7231cc857b331a993184499d
- cbb11b28d2f79ad28abdc077026fc8f2
- fe46bad0cf5329aea52f8817fa49168c