ماژول جاسوسی در modهای واتس اپ کشف شد.
معمولا کاربرانی که به دنبال ویژگیهای اضافی در برنامههای تلفن همراه اند، به mod های ارائه شده توسط توسعهدهندگان شخص ثالث که اغلب با برنامههای مخفی و مخرب همراه هستند، روی می آورند.
مطابق یافتههای کسپرسکی در مورد چندین mod محبوب واتساپ، مشخص شد که این modها حاوی یک ماژول جاسوسی با نام Trojan-Spy.AndroidOS.CanesSpy هستند.
ماژول جاسوسی با استفاده از اجزای مشکوک ، client manifest را به تروژان آلوده می کند. این اجزای مشکوک شامل یک سرویس و یک Broadcast Receiver که در کلاینت رسمی واتساپ وجود ندارد، می باشند.
manifest حکم شناسنامه اپلیکیشن را دارد. داخل آن نام اپلیکیشن، آیکون اپلیکیشن، قابلیت راست به چپ اکتیویتیها (مثل زبان فارسی یا عربی) و موارد دیگر قرار دارد. همچنین پکیجنیم ذخیره میشود تا بتوانیم به وسیله آن اپلیکیشنمان را شناسایی کنیم و سیستم عامل اندروید نیز از آن استفاده کند.
Broadcast Receiver یک جزء اصلی در اندروید است که به شما امکان میدهد پیغامهای Broadcast را به سیستم اندروید و برنامههای دیگر ارسال و یا از آنها دریافت کنید.
سپس ایمپلنت مخرب اطلاعات مهم دستگاه را به سرور فرمان و کنترل (C2) از جمله IMEI، شماره تلفن، کد کشور تلفن همراه، کد شبکه تلفن همراه و موارد دیگر ارسال میکند. علاوه بر این، هر پنج دقیقه یک بار دادهها را برروی لیست مخاطبین و اکانت های قربانی آپلود میکند. ماژول جاسوسی به طور مداوم سرور C2 را برای دستورالعملهایی که به آنها «orders» گفته میشود، بررسی میکند و آنها را در فواصل زمانی از پیش پیکربندی شده اجرا میکند.
یکی از جنبههای قابل توجه این مورد، کشف پیامهایی است که به سرور C2 به زبان عربی ارسال میشود که حاکی از دخالت یک توسعهدهنده عرب زبان است. توزیع این مدهای جاسوسی در درجه اول از طریق کانال های محبوب تلگرام شناسایی شد، جایی که چندین نسخه mod حاوی ماژول مخرب بودند.
کسپرسکی گفت که تنها بین 5 تا 31 اکتبر سال 2023، راهحلهای امنیت سایبری این شرکت بیش از 340000 حمله مربوط به این mod جاسوسی واتساپ را در بیش از صد کشور رهگیری کرده است و تعداد حملات بالایی در کشورهایی مانند آذربایجان، عربستان سعودی، یمن، ترکیه و مصر ثبت شده است.
دیمیتری کالینین، محقق امنیتی کسپرسکی در این توصیه مینویسد: «برای جلوگیری از از دست دادن اطلاعات شخصیتان، توصیه میکنیم فقط از منابع رسمی خرید و یا دانلود پیامرسان های معتبر استفاده کنید. اگر به ویژگیهای اضافی نیاز دارید، توصیه میکنیم از یک راهحل امنیتی قابل اعتماد استفاده کنید که میتواند بدافزار را شناسایی و مسدود کند.