Авторы
Пользователям популярных мессенджеров порой не хватает возможностей официального клиента. Чтобы решить эту проблему, сторонние разработчики предлагают модификации приложений, в которых есть как новшества косметического характера, так и востребованные полезные функции. К сожалению, некоторые из них помимо легитимных дополнительных функций содержат вредоносное ПО. Так, в прошлом году мы встретили троянец Triada внутри модификации WhatsApp. А недавно мы рассказывали о другой находке — модификации мессенджера Telegram со шпионским модулем, которая распространялась через Google Play. Теперь ситуация повторилась, только с WhatsApp: в нескольких модификациях мессенджера, ранее не совершавших вредоносных действий, появился шпионский модуль, который наши защитные решения детектируют как Trojan-Spy.AndroidOS.CanesSpy.
Как работает шпионский модуль
Работу шпионского модуля рассмотрим на примере образца 80d7f95b7231cc857b331a993184499d.
В манифесте троянизированного клиента можно встретить подозрительные компоненты: сервис и ресивер (приемник широковещательных сообщений), которых нет в оригинальном WhatsApp. Последний слушает широковещательные сообщения от системы и других приложений, например о том, что телефон поставлен на зарядку, пришло SMS-сообщение или приложение-загрузчик закончило загрузку файла. Если ресивер получает такое сообщение, в его коде вызывается обработчик этого события. В зараженной модификации WhatsApp ресивер запускает сервис, который и начинает работу шпионского модуля, при включении или постановке телефона на зарядку.
Подозрительные компоненты приложения
Сервис выбирает в зависимости от константы Application_DM в коде вредоносной программы командный сервер, с которым в дальнейшем будет связываться зараженное устройство.
Выбор командного сервера
В самом начале своей работы вредоносный имплант отправляет на сервер злоумышленников по пути /api/v1/AllRequest POST-запрос c различной информацией об устройстве: IMEI, номер телефона, MCC и MNC и т. д. Также троянец запрашивает у удаленного сервера конфигурацию: пути для загрузки различных данных, интервалы между запросами к C&C и т. д. Помимо этого, раз в пять минут модуль отправляет информацию о контактах и аккаунтах жертвы.
После успешной загрузки данных об устройстве зловред с заданным в конфигурации интервалом (по умолчанию — каждую минуту) запрашивает у C&C команды для исполнения, которые разработчики называют «приказами» (orders). Подробное описание команд и пути, по которым зловред отправляет на сервер ответ, приведены в таблице ниже.
| Команда | Путь для ответа по умолчанию | Описание | Параметры |
| GET_FILE | /api/v1/UploadFileWithContinue | Отправка файла из внешнего хранилища (несистемного раздела памяти устройства или съемного хранилища типа SD-карты) в ZIP-архиве | Путь к файлу на устройстве жертвы |
| UploadFileWithQuery | /api/v1/UploadFileWithContinue | Отправка файлов из внешнего хранилища, соответствующих заданному фильтру, в ZIP-архиве | Фильтр строк в SQL-выражении SELECT, с помощью которого происходит выбор информации при обращении к ContentResolver (класс, через который на устройствах Android осуществляется доступ к файлам) |
| GetAllFileList | /api/v1/SaveFileNames | Отправка путей ко всем файлам во внешнем хранилище | – |
| GET_SPEC_FILE_TYPE | /api/v1/SaveFileNames | Отправка имен файлов, имеющих определенное расширение | Фильтр строк в SQL-выражении SELECT, с помощью которого происходит выбор информации при обращении к ContentResolver |
| UpdateAllDeviceData | /api/v1/AllRequest | Отправка информации об устройстве, зараженном приложении (имя пакета приложения и версия шпионского импланта), а также списка контактов и аккаунтов жертвы | – |
| RecordSound | /api/v1/UploadSmallFile | Запись с микрофона | Длительность записи в секундах |
| DeviceOtherData | /api/v1/SaveResponseToFile | Отправка информации о конфигурации шпионского импланта | – |
| ChangeMainDmain | – | Смена командного сервера | Адрес нового командного сервера |
| Get_Compressed_File | /api/v1/UploadFileWithContinue | Отправка файлов из внешнего хранилища в ZIP-архиве | Список путей файлов, которые нужно загрузить |
Наше внимание привлекли сообщения, отправляемые на командный сервер. Они все были на арабском языке, что позволило нам предположить, что разработчик арабоязычный.
Как распространяются модификации WhatsApp со шпионским модулем
Обнаружив шпионские модули в модификациях WhatsApp, мы решили выяснить, как они распространяются. Анализ статистики показал, что основным источником зараженных файлов являются Telegram-каналы преимущественно на арабском и азербайджанском языках, причем суммарное число подписчиков только в самых популярных из них достигает почти двух миллионов пользователей. Мы предупредили Telegram о наличии вредоносного ПО в этих каналах.
Скачав из каждого канала последнюю версию модификации мессенджера (1db5c057a441b10b915dbb14bba99e72, fe46bad0cf5329aea52f8817fa49168c, 80d7f95b7231cc857b331a993184499d), мы убедились, что в них действительно зашит описанный шпионский модуль. Учитывая, что вредоносные компоненты появились в модификациях не сразу, мы проанализировали несколько предыдущих версий и установили, что этот шпион активен с середины августа 2023 года. Все версии модификаций, опубликованные в каналах начиная с этого времени, были заражены на момент написания отчета, однако впоследствии как минимум в одном из них последнюю версию заменили на чистую. Судя по временным меткам файлов с кодом в APK, это произошло 20 октября.
Временные метки DEX-файлов в зараженном приложении (слева) и в чистой версии (справа)
Помимо Telegram-каналов вредоносные модификации распространяются через различные сайты, посвященные модификациям WhatsApp.
География атак нового шпиона в модификациях WhatsApp
С 5 по 31 октября наши защитные решения предотвратили более 340 тысяч атак шпионской модификации WhatsApp в более чем ста странах мира. Однако реальное количество установок шпионских модификаций с учетом способа их распространения может быть гораздо больше. В ТОР 5 стран по числу атак вошли Азербайджан, Саудовская Аравия, Йемен, Турция и Египет.
TOP 20 стран по числу обнаруженных попыток заражения шпионской модификацией WhatsApp (скачать)
Заключение
К сожалению, мы все чаще встречаем модифицированные клиенты мессенджеров, которые содержат вредоносное ПО. Для модификаций WhatsApp основной способ распространения — неофициальные ресурсы для загрузки Android-приложений, где зачастую отсутствует модерация и вредоносные файлы не удаляются. Некоторые такие ресурсы — сторонние магазины приложений, Telegram-каналы и т. д. — довольно популярны у пользователей, однако популярность не гарантирует отсутствие угрозы. Мы рекомендуем пользоваться только официальными клиентами мессенджеров, чтобы избежать потери личных данных. Если же вдруг дополнительная функциональность вам необходима, то стоит использовать надежное защитное решение, которое обнаружит и заблокирует зловреда, если выбранная модификация оказалась зараженной.
Индикаторы компрометации
MD5
1db5c057a441b10b915dbb14bba99e72
fe46bad0cf5329aea52f8817fa49168c
80d7f95b7231cc857b331a993184499d
cbb11b28d2f79ad28abdc077026fc8f2
19c489bcd11d7eb84e0ade091889c913
3fda123f66fa86958597018e409e42c0
C&C
hxxps://application-marketing[.]com
hxxps://whatsupdates[.]com
hxxps://android-soft-store[.]com
hxxps://whats-media[.]com
hxxps://whats-mate[.]com
hxxps://whats-mate[.]net
hxxps://whats-mydns[.]com
hxxps://whats-mydns[.]net
hxxps://whats-vpn[.]com
hxxps://whats-vpn[.]net
Сайты, распространяющие вредоносные модификации
hxxps://whatsagold[.]app
hxxps://watsabplusgold[.]com
hxxps://www.whatsgold[.]app
hxxps://www.3ssem[.]com
hxxps://goldnwhats[.]app
hxxps://omarwhats[.]app
Авторы
От тех же авторов
В той же категории
Шпионский мод WhatsApp распространяется через Telegram, атакует арабоязычных пользователей