کمیته رکن چهارم – کارشناسان امنیت سایبری در نسخههای جعلی واتساپ جاسوسافزاری به نام CanesSpy کشف کردهاند.
محققان امنیتی نسخههای اصلاح شدهای از واتساپ (نسخه اندروید) را کشف کردهاند که دارای یک ماژول جاسوسی به نام CanesSpy میباشد. این نسخههای مخرب برنامه پیامرسان، از طریق وبسایتهای تایید نشدهای که چنین نرمافزارهای اصلاحشده را تبلیغ میکنند و همچنین کانالهای تلگرامی که عمده مخاطبان آنها عرب و آذربایجانی هستند، منتشر شدهاند. یکی از این کانالهای تلگرامی دو میلیون کاربر دارد.
محققان امنیتی کسپرسکی اعلام کردهاند که این نسخههای آلوده شده به تروجان حاوی اجزای مشکوک (یک سرویس و یک گیرنده پخش) هستند که در نسخه اصلی واتساپ وجود ندارند. به صورت خاص، افزونههای جدید برای فعال کردن ماژول نرمافزار جاسوسی هنگامی که تلفن روشن میشود یا شروع به شارژ میکند، طراحی شدهاند. در ادامه، ماژول جدید اقدام به برقراری تماس با سرور فرمان و کنترل (C2) میکند و اطلاعاتی در مورد دستگاه در معرض خطر مانند IMEI، شماره تلفن، کد کشور تلفن همراه و کد شبکه تلفن همراه را ارسال میکند.
بدافزار CanesSpy همچنین جزئیات مربوط به مخاطبین و حسابهای قربانی را هر پنج دقیقه ارسال میکند و علاوه بر آن هر دقیقه منتظر دریافت دستورالعملهای بیشتر از سرور C2 است. این تنظیمات قابل پیکربندی مجدد هستند. ایجاد دسترسی جهت ارسال فایلها از حافظه خارجی (به عنوان مثال، کارت SD قابل جابجایی)، مخاطبین، ضبط صدا از میکروفون و تغییر سرورهای C2 از جمله تواناییهای این بدافزار میباشد.
این واقعیت که پیامهای ارسال شده به سرور C2 همگی به زبان عربی هستند نشان می دهد که توسعهدهنده این عملیات یک عرب زبان است. ارزیابیهای بیشتر نشان میدهد که این نرم افزار جاسوسی از اواسط آگوست ۲۰۲۳ فعال بوده است و این کمپین عمدتاً آذربایجان، عربستان سعودی، یمن، ترکیه و مصر را هدف قرار داده است. سال گذشته، شرکت متا همچنین علیه سه توسعهدهنده در چین و تایوان به دلیل توزیع برنامههای غیررسمی واتساپ، از جمله HeyMods، شکایتی را طرح کرد و ادعا نمود که فعالیتهای این شرکتها منجر به به خطر افتادن بیش از یک میلیون حساب کاربری شده است.
توسعه این بدافزار نشان دهنده بهرهبرداری مداوم از نسخههای اصلاح شده سرویسهای پیامرسان همانند تلگرام و واتساپ، با هدف توزیع بدافزار بین کاربران ناشناس میباشد.
واتساپ به نوبه خود نسخههای غیررسمی را جعلی میداند و هشدار میدهد که ممکن است خطر حمل بدافزاری را به همراه داشته باشد که میتواند حریم خصوصی و امنیت مشتریان را نقض کند. به همین دلیل این شرکت از کاربران درخواست کرده که صرفاً از نسخههای منتشر شده رسمی توسط خود متا استفاده نمایند.
به گفته محققان امنیتی، نسخههای اصلاح شده واتساپ بیشتر از طریق فروشگاههای برنامه اندرویدی نامعتبر منتشر میشوند که اغلب فاقد غربالگری امنیتی لازم هستند و بدافزار را حذف نمیکنند. برخی از این منابع، مانند کانالهای تلگرام، از محبوبیت قابل توجهی برخوردار هستند، اما این موضوع تضمینی برای ایمنی نیست. بنابراین توصیه اکید میشود تا کاربران در صورت نیاز به یک پیامرسان یا هر نرمافزار با قابلیت اتصال به اینترنت، حتماً نسبت به دریافت آن، صرفاً از فروشگاههای معتبر اقدام کنند. لازم به ذکر است که این توصیه مطلق نیست و شرکت کسپراسکای، به تازگی یک نسخه اصلاح شده نرمافزار تلگرام برروی گوگل پلی را کشف نمود که حاوی ماژولهای جاسوسی بود.
منبع : افتانا
