کشف ابزار جاسوسی CanesSpy در نسخه‌های جعلی واتساپ

محققان امنیتی نسخه‌‌‌های اصلاح شده‌‌‌ای از واتساپ (نسخه اندروید) را کشف کرده‌اند که دارای یک ماژول جاسوسی به نام CanesSpy می‌باشد. این نسخه‌های مخرب برنامه پیام‌رسان، از طریق وب‌سایت‌های تایید نشده‌‌‌ای که چنین نرم‌افزارهای اصلاح‌شده را تبلیغ می‌کنند و همچنین کانال‌های تلگرامی که عمده مخاطبان آنها عرب و آذربایجانی هستند، منتشر شده‌اند. یکی از این کانال‌‌‌های تلگرامی دو میلیون کاربر دارد.
محققان امنیتی کسپرسکی اعلام کرده‌‌‌اند که این نسخه‌‌‌های آلوده شده به تروجان حاوی اجزای مشکوک (یک سرویس و یک گیرنده پخش) هستند که در نسخه اصلی واتساپ وجود ندارند. به صورت خاص، افزونه‌های جدید برای فعال کردن ماژول نرم‌افزار جاسوسی هنگامی که تلفن روشن می‌‌‌شود یا شروع به شارژ می‌کند، طراحی شده‌اند. در ادامه، ماژول جدید اقدام به برقراری تماس با سرور فرمان و کنترل (C2) می‌کند و  اطلاعاتی در مورد دستگاه در معرض خطر مانند IMEI، شماره تلفن، کد کشور تلفن همراه و کد شبکه تلفن همراه را ارسال می‌‌‌کند.
بدافزار CanesSpy همچنین جزئیات مربوط به مخاطبین و حساب‌های قربانی را هر پنج دقیقه ارسال می‌‌‌کند و علاوه بر آن هر دقیقه منتظر دریافت دستورالعمل‌‌‌های بیشتر از سرور C2 است. این تنظیمات قابل پیکربندی مجدد هستند. ایجاد دسترسی جهت ارسال فایل‌ها از حافظه خارجی (به عنوان مثال، کارت SD قابل جابجایی)، مخاطبین، ضبط صدا از میکروفون و تغییر سرورهای C2 از جمله توانایی‌‌‌های این بدافزار می‌‌‌باشد.

محصولات تحت تاثیر
این واقعیت که پیام‌‌‌های ارسال شده به سرور C2 همگی به زبان عربی هستند نشان می دهد که توسعه‌دهنده این عملیات یک عرب زبان است. ارزیابی‌‌‌های بیشتر نشان می‌‌‌دهد که این نرم افزار جاسوسی از اواسط آگوست 2023 فعال بوده است و این کمپین عمدتاً آذربایجان، عربستان سعودی، یمن، ترکیه و مصر را هدف قرار داده است. سال گذشته، شرکت متا همچنین علیه سه توسعه‌دهنده در چین و تایوان به دلیل توزیع برنامه‌های غیررسمی واتساپ، از جمله HeyMods، شکایتی را طرح کرد و ادعا نمود که  فعالیت‌‌‌های این شرکت‌‌‌ها منجر به به خطر افتادن بیش از یک میلیون حساب کاربری شده است. 
توسعه این بدافزار نشان دهنده بهره‌برداری مداوم از نسخه‌‌‌های اصلاح شده سرویس‌‌‌های پیام‌‌‌رسان همانند تلگرام و واتساپ، با هدف توزیع بدافزار بین کاربران ناشناس می‌‌‌باشد.

 توصیه‌های امنیتی
واتساپ به نوبه خود نسخه‌های غیررسمی را جعلی می‌داند و هشدار می‌دهد که ممکن است خطر حمل بدافزاری را به همراه داشته باشد که می‌تواند حریم خصوصی و امنیت مشتریان را نقض کند. به همین دلیل این شرکت از کاربران درخواست کرده که صرفاً از نسخه‌‌‌های منتشر شده رسمی توسط خود متا استفاده نمایند.
به گفته محققان امنیتی، نسخه‌‌‌های اصلاح شده واتساپ بیشتر از طریق فروشگاه‌‌‌های برنامه اندرویدی نامعتبر منتشر می‌‌‌شوند که اغلب فاقد غربالگری امنیتی لازم هستند و بدافزار را حذف نمی‌‌‌کنند. برخی از این منابع، مانند کانال‌‌‌های تلگرام، از محبوبیت قابل توجهی برخوردار هستند، اما این موضوع تضمینی برای ایمنی نیست. بنابراین توصیه اکید می‌‌‌شود تا کاربران در صورت نیاز به یک پیام‌‌‌رسان یا هر نرم‌‌‌افزار با قابلیت اتصال به اینترنت، حتماً نسبت به دریافت آن، صرفاً از فروشگاه‌‌‌های معتبر اقدام کنند. لازم به ذکر است که این توصیه مطلق نیست و  شرکت کسپراسکای، به تازگی یک نسخه اصلاح شده نرم‌‌‌افزار تلگرام برروی گوگل پلی را کشف نمود که حاوی ماژول‌‌‌های جاسوسی بود.

منابع خبر:

[1] https://thehackernews.com/2023/11/canesspy-spyware-discovered-in-modified.html
[2] https://securityaffairs.com/153564/mobile-2/whatsapp-mods-canesspy-spyware.html
[3] https://malwaretips.com/threads/canesspy-spyware-discovered-in-modified-whatsapp-clients.126918/