Les chercheurs en cybersécurité ont découvert un certain nombre de mods WhatsApp pour Android équipés d’un module de logiciel espion baptisé CannesEspion.
Ces versions modifiées de l’application de messagerie instantanée ont été observées propagées via des sites Web fragmentaires faisant la publicité de ce logiciel ainsi que sur des chaînes Telegram utilisées principalement par des locuteurs de l’arabe et de l’azéri, dont l’une compte 2 millions d’utilisateurs.
« Le manifeste client trojanisé contient des composants suspects (un service et un récepteur de diffusion) qui sont introuvables dans le client WhatsApp d’origine », a déclaré Dmitry Kalinin, chercheur en sécurité chez Kaspersky. dit.
Plus précisément, les nouveaux ajouts sont conçus pour activer le module anti-spyware lorsque le téléphone est allumé ou commence à se charger.
Il établit ensuite le contact avec un serveur de commande et de contrôle (C2), puis envoie des informations sur l’appareil compromis, telles que l’IMEI, le numéro de téléphone, l’indicatif du pays du mobile et le code du réseau mobile.
CanesSpy transmet également des détails sur les contacts et les comptes de la victime toutes les cinq minutes, en plus d’attendre des instructions supplémentaires du serveur C2 toutes les minutes, un paramètre qui peut être reconfiguré.
Cela inclut l’envoi de fichiers depuis un stockage externe (par exemple, une carte SD amovible), des contacts, l’enregistrement du son du microphone, l’envoi de données sur la configuration de l’implant et la modification des serveurs C2.
Le fait que les messages envoyés au serveur C2 soient tous en arabe indique que le développeur à l’origine de l’opération est arabophone.
Une analyse plus approfondie de l’opération montre que le logiciel espion est actif depuis la mi-août 2023, la campagne ciblant principalement l’Azerbaïdjan, l’Arabie saoudite, le Yémen, la Turquie et l’Égypte.
Ce développement marque l’abus continu de versions modifiées de services de messagerie comme Telegram et WhatsApp pour distribuer des logiciels malveillants à des utilisateurs sans méfiance.
« Les mods WhatsApp sont principalement distribués via des magasins d’applications Android tiers, qui manquent souvent de contrôle et ne parviennent pas à supprimer les logiciels malveillants », a déclaré Kalinin. « Certaines de ces ressources, telles que les magasins d’applications tiers et les chaînes Telegram, jouissent d’une popularité considérable, mais cela ne garantit pas leur sécurité. »