Investigadores de ciberseguridad han descubierto una serie de modificaciones de WhatsApp para Android que vienen equipadas con un módulo de software espía denominado bastonesespía.
Se ha observado que estas versiones modificadas de la aplicación de mensajería instantánea se propagan a través de sitios web dudosos que anuncian dicho software, así como canales de Telegram utilizados principalmente por hablantes de árabe y azerbaiyano, uno de los cuales cuenta con 2 millones de usuarios.
«El manifiesto del cliente troyanizado contiene componentes sospechosos (un servicio y un receptor de transmisión) que no se pueden encontrar en el cliente original de WhatsApp», dijo el investigador de seguridad de Kaspersky, Dmitry Kalinin. dicho.
En concreto, las nuevas incorporaciones están diseñadas para activar el módulo de software espía cuando el teléfono se enciende o comienza a cargarse.
Posteriormente procede a establecer contacto con un servidor de comando y control (C2), seguido de enviar información sobre el dispositivo comprometido, como el IMEI, número de teléfono, código de país móvil y código de red móvil.
CanesSpy también transmite detalles sobre los contactos y cuentas de la víctima cada cinco minutos, además de esperar cada minuto más instrucciones del servidor C2, configuración que se puede reconfigurar.
Esto incluye enviar archivos desde un almacenamiento externo (p. ej., una tarjeta SD extraíble), contactos, grabar sonido desde el micrófono, enviar datos sobre la configuración del implante y alterar los servidores C2.
El hecho de que todos los mensajes enviados al servidor C2 estén en árabe indica que el desarrollador detrás de la operación habla árabe.
Un análisis más detallado de la operación muestra que el software espía ha estado activo desde mediados de agosto de 2023, y la campaña está dirigida principalmente a Azerbaiyán, Arabia Saudita, Yemen, Turquía y Egipto.
El desarrollo marca el abuso continuo de versiones modificadas de servicios de mensajería como Telegram y WhatsApp para distribuir malware a usuarios desprevenidos.
«Los mods de WhatsApp se distribuyen principalmente a través de tiendas de aplicaciones de Android de terceros, que a menudo carecen de controles y no logran eliminar el malware», dijo Kalinin. «Algunos de estos recursos, como las tiendas de aplicaciones de terceros y los canales de Telegram, gozan de una popularidad considerable, pero eso no es garantía de seguridad».