ماژول جاسوسی در modهای واتس اپ کشف شد.

معمولا کاربرانی که به دنبال ویژگی‌های اضافی در برنامه‌های تلفن همراه اند، به mod های ارائه شده توسط توسعه‌دهندگان شخص ثالث که اغلب با برنامه‌های مخفی و مخرب همراه هستند، روی می آورند.

مطابق یافته‌های کسپرسکی در مورد چندین mod محبوب واتس‌اپ، مشخص شد که این modها حاوی یک ماژول جاسوسی با نام Trojan-Spy.AndroidOS.CanesSpy هستند.

ماژول جاسوسی با استفاده از اجزای مشکوک ، client manifest را به تروژان آلوده می کند. این اجزای مشکوک شامل یک سرویس و یک Broadcast Receiver که در کلاینت رسمی واتس‌اپ وجود ندارد، می باشند.

 manifest حکم شناسنامه اپلیکیشن را دارد. داخل آن نام اپلیکیشن، آیکون اپلیکیشن، قابلیت راست به چپ اکتیویتی‌ها (مثل زبان فارسی یا عربی) و موارد دیگر قرار دارد. همچنین پکیج‌نیم ذخیره می‌شود تا بتوانیم به وسیله آن اپلیکیشن‌مان را شناسایی کنیم و سیستم عامل اندروید نیز از آن استفاده کند.

Broadcast Receiver یک جزء اصلی در اندروید است که به شما امکان می‌دهد پیغام‌های Broadcast را به سیستم اندروید و برنامه‌های دیگر ارسال و یا از آن‌ها دریافت کنید.

این اجزا به رویدادهای سیستم و برنامه های مختلف مانند شارژ تلفن، پیام های متنی و دانلود فایل گوش می دهند. پس از فعال شدن، معمولاً زمانی که تلفن روشن است یا شروع به شارژ می کند ،گیرنده ماژول جاسوسی را فعال می کند.

سپس ایمپلنت مخرب اطلاعات مهم دستگاه را به سرور فرمان و کنترل (C2) از جمله IMEI، شماره تلفن، کد کشور تلفن همراه، کد شبکه تلفن همراه و موارد دیگر ارسال می‌کند. علاوه بر این، هر پنج دقیقه یک بار داده‌ها را برروی لیست مخاطبین و اکانت های قربانی آپلود می‌کند. ماژول جاسوسی به طور مداوم سرور C2 را برای دستورالعمل‌هایی که به آنها «orders» گفته می‌شود، بررسی می‌کند و آنها را در فواصل زمانی از پیش پیکربندی شده اجرا می‌کند.

یکی از جنبه‌های قابل توجه این مورد، کشف پیام‌هایی است که به سرور C2 به زبان عربی ارسال می‌شود که حاکی از دخالت یک توسعه‌دهنده عرب زبان است. توزیع این مدهای جاسوسی در درجه اول از طریق کانال های محبوب تلگرام شناسایی شد، جایی که چندین نسخه mod حاوی ماژول مخرب بودند.

کسپرسکی گفت که تنها بین 5 تا 31 اکتبر سال 2023، راه‌حل‌های امنیت سایبری این شرکت بیش از 340000 حمله مربوط به این mod جاسوسی واتس‌اپ را در بیش از صد کشور رهگیری کرده است و تعداد حملات بالایی در کشورهایی مانند آذربایجان، عربستان سعودی، یمن، ترکیه و مصر ثبت شده است.

دیمیتری کالینین، محقق امنیتی کسپرسکی در این توصیه می‌نویسد: «برای جلوگیری از از دست دادن اطلاعات شخصی‌تان، توصیه می‌کنیم فقط از منابع رسمی خرید و یا دانلود پیام‌رسان های معتبر استفاده کنید. اگر به ویژگی‌های اضافی نیاز دارید، توصیه می‌کنیم از یک راه‌حل امنیتی قابل اعتماد استفاده کنید که می‌تواند بدافزار را شناسایی و مسدود کند.