一些流行的即時通訊服務經常會缺乏某些自定義功能,爲了解決這個問題,第三方開發者會開發出一些 mod(修改或增強程序),來提供一些受歡迎的功能。但其中一些 mod 在提供增強功能的同時也會加入一些惡意軟件。去年,卡巴斯基實驗室的研究人員在 WhatsApp 的一個 mod 中發現了 Triada 木馬。最近,他們又發現了一個嵌入間諜 mod 的 Telegram mod,可通過 Google Play 傳播。
WhatsApp 現在的情況與此相同:研究人員發現幾個之前無害的 mod 包含一個間諜 mod,他們将該 mod 檢測爲 Trojan-Spy.AndroidOS.CanesSpy。
間諜 mod 是如何運行的?
研究人員将通過 80d7f95b7231cc857b331a993184499d 示例來說明間諜 mod 的工作過程。
木馬化的客戶端清單包含在原始 WhatsApp 客戶端中找不到的可疑組件 ( 服務和廣播接收器 ) 。廣播接收器偵聽來自系統和其他應用程序的廣播,例如手機開始充電,收到的文本消息或下載程序完成下載;當接收方收到這樣的消息時,它調用事件處理程序。在 WhatsApp 間諜 mod 中,當手機開機或開始充電時,接收方會運行一項服務,啓動間諜 mod。
可疑的應用組件
該服務查看惡意軟件代碼中的 Application_DM 常量,以選擇受攻擊設備将繼續聯系的命令與控制 ( C&C ) 服務器。
選擇命令和控制服務器
當惡意植入啓動時,它會沿着路徑 /api/v1/AllRequest 向攻擊運營商的服務器發送包含設備信息的 POST 請求。這些信息包括 IMEI、電話号碼、移動國家代碼、移動網絡代碼等。該木馬還請求配置細節,例如上傳各種類型數據的路徑、向 C&C 請求之間的間隔等。此外,該 mod 每五分鍾傳送一次有關受害者聯系人和賬戶的信息。
在設備信息成功上傳後,惡意軟件開始以預先配置的間隔 ( 默認爲一分鍾 ) 向 C&C 詢問指令,開發人員稱之爲 " 命令 "。下表包含惡意軟件用于向服務器發送響應的命令和路徑的詳細描述:
發送到指揮控制服務器的信息引起了研究人員的注意,它們都是阿拉伯語,這表明開發者會說阿拉伯語。
WhatsApp 間諜 mod 的攻擊目标
在發現 WhatsApp mod 中的間諜 mod 後,研究人員決定找出它們是如何傳播的。分析發現,Telegram 是主要來源。研究人員發現了一些 Telegram 通道,主要是阿拉伯語和阿塞拜疆語,其中最受歡迎的節目就有近 200 萬訂閱者。研究人員提醒 Telegram,這些通道被用來傳播惡意軟件。
在從每個通道下載最新版本的 mod ( 1db5c057a441b10b915dbb14bba99e72, fe46bad0cf5329aea52f8817fa49168c, 80d7f95b7231cc857b331a993184499d ) 後,研究人員發現它們包含上述間諜 mod,這驗證了假設。
鑒于惡意軟件組件不是原始 mod 的一部分,研究人員檢查了幾個最近的版本,并确定了第一個被攻擊的版本。根據調查結果,該間諜軟件自 2023 年 8 月中旬以來一直活躍。在撰寫本文時,自那時以來在通道上發布的所有版本都包含惡意軟件。然而,後來 ( 如果根據 APK 中的時間戳判斷,大約在 10 月 20 日左右 ) ,至少一個通道中的至少一個最新版本被替換爲一個幹淨的版本。
受攻擊應用程序中的 DEX 時間戳 ( 左 ) 和未攻擊版本中的 DEX 時間戳 ( 右 )
除了 Telegram 渠道,受攻擊的 mod 還通過各種可疑的網站傳播,這些網站專門用于修改 WhatsApp。
新型 WhatsApp 間諜軟件的攻擊範圍
10 月 5 日至 31 日期間,卡巴斯基安全解決方案在 100 多個國家發現了 34 萬多次由 WhatsApp 間諜 mod 發起的攻擊。不過,如果考慮到傳播渠道的性質,實際安裝數量可能會高得多。攻擊次數最多的五個國家是阿塞拜疆、沙特阿拉伯、也門、土耳其和埃及。
按發現的 WhatsApp 間諜 mod 攻擊次數排名的前 20 個國家
總結
研究人員看到包含惡意軟件代碼的即時通訊應用 mod 數量有所增加。WhatsApp 的 mod 大多是通過第三方 Android 應用商店傳播的,這些應用商店往往缺乏篩選,無法清除惡意軟件,其中如第三方應用商店和 Telegram 通道,很受歡迎。但爲避免丢失個人數據,建議隻使用官方即時通訊客戶端;如果用戶需要額外的功能,建議使用一個可靠的安全解決方案,可以檢測和阻止惡意軟件,以防被 mod 攻擊。
