Siber güvenlik araştırmacıları, Android için bir casus yazılım modülüyle donatılmış bir dizi WhatsApp modunu ortaya çıkardı. KöpeklerCasus.
Anlık mesajlaşma uygulamasının bu değiştirilmiş versiyonlarının, bu tür yazılımların reklamını yapan yarım yamalak web siteleri ve ağırlıklı olarak Arapça ve Azerice konuşanlar tarafından kullanılan ve biri 2 milyon kullanıcıya sahip olan Telegram kanalları aracılığıyla yayıldığı gözlemlendi.
Kaspersky güvenlik araştırmacısı Dmitry Kalinin, “Truva atı haline getirilmiş istemci bildirimi, orijinal WhatsApp istemcisinde bulunamayan şüpheli bileşenler (bir hizmet ve bir yayın alıcısı) içeriyor” dedi.
Özellikle yeni eklemeler, telefon açıldığında veya şarj olmaya başladığında casus yazılım modülünün etkinleştirilmesi için tasarlandı.
Daha sonra bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmaya devam eder ve ardından ele geçirilen cihaz hakkında IMEI, telefon numarası, mobil ülke kodu ve mobil ağ kodu gibi bilgiler gönderir.
CanesSpy ayrıca kurbanın kişileri ve hesapları hakkındaki ayrıntıları her beş dakikada bir iletir ve ayrıca her dakika C2 sunucusundan daha fazla talimat beklemeye başlar; bu, yeniden yapılandırılabilen bir ayardır.
Buna, harici depolama biriminden (örn. çıkarılabilir SD kart), kişilerden dosya gönderme, mikrofondan ses kaydetme, implant konfigürasyonu hakkında veri gönderme ve C2 sunucularını değiştirme dahildir.
C2 sunucusuna gönderilen mesajların tamamının Arapça olması, operasyonun arkasındaki geliştiricinin Arapça konuştuğunu gösteriyor.
Operasyonun daha ayrıntılı analizi, casus yazılımın Ağustos 2023 ortasından bu yana aktif olduğunu ve kampanyanın öncelikli olarak Azerbaycan, Suudi Arabistan, Yemen, Türkiye ve Mısır’ı hedef aldığını gösteriyor.
Bu gelişme, kötü amaçlı yazılımları şüphelenmeyen kullanıcılara dağıtmak için Telegram ve WhatsApp gibi mesajlaşma hizmetlerinin değiştirilmiş sürümlerinin sürekli olarak kötüye kullanıldığına işaret ediyor.
Kalinin, “WhatsApp modları çoğunlukla üçüncü taraf Android uygulama mağazaları aracılığıyla dağıtılıyor ve bunlar genellikle taramadan yoksun ve kötü amaçlı yazılımları ortadan kaldıramıyor.” dedi. “Üçüncü taraf uygulama mağazaları ve Telegram kanalları gibi bu kaynaklardan bazıları oldukça popüler, ancak bu güvenliğin garantisi değil.”