Sicherheitsforscher haben modifizierte WhatsApp-Versionen für Android entdeckt, die mit einer Spionage-Modul namens CanesSpy ausgestattet sind. Diese abgewandelten Varianten der Sofortnachrichten-App wurden verbreitet über zweifelhafte Websites, die solche Software bewerben, sowie über Telegram-Kanäle, die hauptsächlich von arabisch- und aserbaidschanischsprachigen Nutzern verwendet werden, von denen einer etwa 2 Millionen Benutzer zählt.
Laut dem Sicherheitsforscher Dmitry Kalinin von Kaspersky enthält das Manifest der trojanisierten Client-Version verdächtige Komponenten (einen Service und einen Broadcast-Empfänger), die im originalen WhatsApp-Client nicht zu finden sind. Die neuen Bestandteile sind speziell darauf ausgelegt, das Spionage-Modul zu aktivieren, wenn das Telefon eingeschaltet oder an das Ladegerät angeschlossen wird.
Anschließend stellt es eine Verbindung zu einem Command-and-Control (C2)-Server her und sendet Informationen über das kompromittierte Gerät, wie IMEI, Telefonnummer, Ländercode des Mobilfunknetzes und Netzwerkcode. CanesSpy übermittelt auch alle fünf Minuten Details über die Kontakte und Konten des Opfers und wartet jede Minute auf weitere Anweisungen vom C2-Server, eine Einstellung, die umkonfiguriert werden kann.
Zu den Funktionen gehört das Senden von Dateien vom externen Speicher (z. B. einer SD-Karte), das Erfassen von Kontakten, das Aufzeichnen von Tönen über das Mikrofon, das Senden von Daten über die Konfiguration der Spyware und das Ändern der C2-Server.
Die Tatsache, dass die an den C2-Server gesendeten Nachrichten alle auf Arabisch sind, deutet darauf hin, dass der Entwickler hinter der Operation arabischer Muttersprachler ist.
Weitere Analysen zeigen, dass die Spionage-Software seit Mitte August 2023 aktiv ist und Kampagnen hauptsächlich auf Aserbaidschan, Saudi-Arabien, den Jemen, die Türkei und Ägypten abzielen.
Diese Entwicklung unterstreicht den fortgesetzten Missbrauch modifizierter Versionen von Messaging-Diensten wie Telegram und WhatsApp zur Verbreitung von Malware an ahnungslose Nutzer. „WhatsApp-Mods werden meist über Dritt-Anbieter von Android-App-Stores verbreitet, die oft keine Prüfungen durchführen und es versäumen, Malware zu entfernen“, sagte Kalinin. „Einige dieser Ressourcen, wie Dritt-Anbieter-App-Stores und Telegram-Kanäle, erfreuen sich zwar großer Beliebtheit, bieten aber keine Sicherheitsgarantie.“