CanesSpy Casus Yazılımı Değiştirilmiş WhatsApp Sürümlerinde Keşfedildi
Siber güvenlik araştırmacıları, CanesSpy adlı bir casus yazılım modülüyle donatılmış Android için bir dizi WhatsApp modunu ortaya çıkardı.
Anlık mesajlaşma uygulamasının bu değiştirilmiş sürümlerinin, bu tür modifiye yazılımların reklamını yapan yarım yamalak web sitelerinin yanı sıra, biri iki milyon kullanıcıya sahip olan Arapça ve Azerice konuşanlar tarafından kullanılan Telegram kanalları aracılığıyla yayıldığı gözlemlendi.
Kaspersky güvenlik araştırmacısı Dmitry Kalinin, "Truva atı haline getirilmiş istemci bildirimi, orijinal WhatsApp istemcisinde bulunamayan şüpheli bileşenler (bir hizmet ve bir yayın alıcısı) içeriyor" dedi.
Özellikle, yeni eklemeler, telefon açıldığında veya şarj olmaya başladığında casus yazılım modülünü etkinleştirmek için tasarlanmıştır.
Daha sonra bir komuta ve kontrol (C2) sunucusuyla iletişim kurmaya devam eder ve ardından güvenliği ihlal edilmiş cihaz hakkında IMEI, telefon numarası, mobil ülke kodu ve mobil ağ kodu gibi bilgileri gönderir.
CanesSpy ayrıca, her dakika C2 sunucusundan daha fazla talimat beklemenin yanı sıra, her beş dakikada bir kurbanın kişileri ve hesaplarıyla ilgili ayrıntıları iletir, bu ayar yeniden yapılandırılabilir.
Bu, harici depolamadan (örn. çıkarılabilir SD kart), kontaklardan dosya göndermeyi, mikrofondan ses kaydetmeyi, implant konfigürasyonu hakkında veri göndermeyi ve C2 sunucularını değiştirmeyi içerir.
C2 sunucusuna gönderilen mesajların tamamının Arapça olması, işlemin arkasındaki geliştiricinin Arapça konuşan biri olduğunu gösterir.
Operasyonun daha fazla analizi, casus yazılımın Ağustos 2023'ün ortasından beri aktif olduğunu ve kampanyanın öncelikle Azerbaycan, Suudi Arabistan, Yemen, Türkiye ve Mısır'ı hedef aldığını gösteriyor.
Gelişme, şüphelenmeyen kullanıcılara kötü amaçlı yazılım dağıtmak için Telegram ve WhatsApp gibi mesajlaşma servislerinin değiştirilmiş sürümlerinin kötüye kullanılmaya devam ettiğine işaret ediyor.
WhatsApp, resmi olmayan ve üçüncü taraf sürümleri sahte olarak ele alıyor ve "güvenlik uygulamalarını doğrulayamadığımızı" ve bunları kullanmanın müşterilerin gizliliğini ve güvenliğini ihlal edebilecek kötü amaçlı yazılım taşıma riski oluşturabileceği konusunda uyarıyor.
Geçen yıl Meta'nın sahibi olduğu şirket, Çin ve Tayvan'daki üç geliştiriciye HeyMods da dahil olmak üzere resmi olmayan WhatsApp uygulamalarını dağıttıkları için dava açtı ve bu da bir milyondan fazla kullanıcı hesabının ele geçirilmesiyle sonuçlandı.
Kalinin, "WhatsApp modları çoğunlukla, genellikle taramadan yoksun olan ve kötü amaçlı yazılımları ortadan kaldıramayan üçüncü taraf Android uygulama mağazaları aracılığıyla dağıtılıyor" dedi. "Üçüncü taraf uygulama mağazaları ve Telegram kanalları gibi bu kaynaklardan bazıları önemli bir popülariteye sahip, ancak bu güvenliğin garantisi değil."
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı