WhatsApp 改版应用程式助长 CanesSpy 恶意软体

主要重点

• 攻击者利用多个 Android 上的 WhatsApp 改版应用程式来部署 CanesSpy 恶意软体。
• 这些改版应用程式包含了可以在开机或充电时启动间谍软体的功能。
• CanesSpy 不仅提取设备信息，还能窃取联系人、帐户及外部存储中的档案。
• 所有提取的数据均以阿拉伯语发送至指挥与控制（C2）伺服器，显示出可能的阿拉伯语攻击者。
• 随著最近一系列消息应用的滥用，这种情况更加引人关注。

根据 The Hacker News 的报导，数个 Android 版本的 WhatsApp 改版应用程式被威胁行为者用来实现 CanesSpy间谍软体的部署。这种情况显示出攻击者在利用改版应用来进行恶意活动方面的创新。

根据 Kaspersky 的报告，与原版 WhatsApp 客户端不同，这些木马版应用包含一个服务和广播接收器，使得间谍软体能在 Android设备开启或充电时启动。当 CanesSpy 连接到命令及控制伺服器后，它不仅会交付设备信息（如 IMEI、手机号码和国家代码），还会提取联系人、帐户资讯及存储在外部存储中的档案。

研究人员指出，「所有提取的数据均用阿拉伯语发送至 C2 伺服器，这表明这一系列攻击可能是由熟悉阿拉伯语的威胁行为者实施的。」

这一问题与最近由消息应用程式进行恶意软体散布的趋势相符。Kaspersky 研究员 Dmitry Kalinin 提出：「WhatsApp改版应用程式主要通过第三方 Android 应用商店分发。因此，这些商店往往缺乏审核机制，无法及时移除恶意软体。一些这类资源，比如第三方应用商店和 Telegram 频道，即使受到广泛欢迎，也不能保障安全。」

这一消息再次提醒我们，使用第三方应用程式存在的潜在风险，请谨慎行事以保障个人和设备的安全。