Verdienen Sie Geld mit Ihren Tech-Blogs, Gadgets und Tipps

Haitallinen WhatsApp-modi kohdistuu viiteen Lähi-idän maahan

Huomautus: Seuraava artikkeli auttaa sinua: Haitallinen WhatsApp-modi on kohdistettu viiteen Lähi-idän maahan

Vaarattomalta vaikuttavan WhatsApp-modin on löydetty sisältävän Trojan-Spy.AndroidOS.CanesSpy-nimisen vakoilumoduulin, joka on kohdistanut satoja tuhansia laitteita Lähi-idässä lokakuusta lähtien.

Viisi maata, joihin nämä kohdistetut hyökkäykset kohdistuvat eniten, ovat Azerbaidžan, Saudi-Arabia, Jemen, Turkki ja Egypti, ja Azerbaidžan on vastuussa 45,64 prosentista kaikista tartuntayrityksistä. Muita Lähi-idän ulkopuolisia maita ovat Yhdysvallat, Kanada, Venäjä, Ranska, Romania ja Saksa, vaikka niiden osuus on pieni.

Kaspersky kyberturvallisuuden tutkija tunnisti vaarantuneen WhatsApp-modin ja analysoi sitä edelleen.

Tutkijat käyttivät tiettyä näytettä (80d7f95b7231cc857b331a993184499d) esimerkkinä havainnollistaakseen, kuinka vakoilumoduuli toimii. Se toimii lisäämällä epäilyttäviä Komponentteja troijalaisen WhatsApp-modin asiakasluetteloon. Nämä komponentit sisältävät palvelun ja lähetysvastaanottimen, joita ei ole alkuperäisessä WhatsApp-asiakkaassa.

Lähetysvastaanotin kuuntelee järjestelmä- ja sovelluslähetyksiä ja laukaisee tapahtumakäsittelijät, kun tiettyjä tapahtumia tapahtuu, kuten: B. puhelimen lataaminen tai tekstiviestien vastaanottaminen. Vaarallisessa WhatsApp-modissa Vastaanottaja käynnistää vakoojatroijalaisen, kun puhelin on päällä tai ladattu.

Luettelo maista, joita vaikutus koskee. | Lähde: Kaspersky

Kun palvelu on aktiivinen, se kommunikoi komento- ja ohjauspalvelimen (C2C) kanssa haittaohjelmakoodin Application_DM-yhteystiedon perusteella. Vakoilumoduuli kerää laitetietoja, mukaan lukien, mutta ei rajoittuen, IMEI-koodin, verkkokoodin, maakoodin ja puhelinnumeron. Nämä tiedot lähetetään sitten uhkatoimijoiden palvelimille.

Troijalainen lähettää laitteeseen myös tietoja uhrin yhteystietoluettelosta ja tileistä viiden minuutin välein. Vakoilumoduuli jatkaa kommunikointia C2C-palvelimen kanssa ja pyytää ohjeita ennalta määrätyin väliajoin.

WhatsApp-vakoilumoduuleiden levittäminen

Kasperskyn tutkimus paljasti, että näiden WhatsApp-vakoilumoduuleiden pääasiallinen jakelulähde on Telegram, erityisesti arabien ja Azerbaidžanin alueiden kanavat.

Tutkijat havaitsivat, että joillakin näistä kanavista on huikeat kaksi miljoonaa tilaajaa.

Kaspersky varoitti Telegramia näiden kanavien olemassaolosta ja niiden yhteydestä haittaohjelmien leviämiseen. Vakoilumoduuleita löydettiin useista modien versioista, mikä viittaa siihen, että haittaohjelma on ollut aktiivinen elokuun puolivälistä lähtien.

Telegram toimii massiivisena jakelukanavana haitallisille WhatsApp-modeille. | Lähde: Kaspersky

Tutkijat havaitsivat myös, että tartunnan saaneita versioita oli näillä kanavilla 20. lokakuuta asti, jolloin ainakin yksi kanava korvattiin modin haittaohjelmista vapaalla versiolla.

Telegramin lisäksi vaarantuneet modit jaetaan useiden verkkosivustojen kautta, jotka on omistettu yksinomaan WhatsApp-modeille.

Tähän mennessä tutkijat ovat estäneet yli 340 000 WhatsApp-vakoilumodifikaatiota lokakuun 5. ja 31. päivän välisenä aikana. He uskovat kuitenkin, että asennusten määrä voi olla paljon suurempi helposti saatavilla olevan jakelukanavan vuoksi.

Tutkijat ovat kehottaneet käyttäjiä valitsemaan virallisen WhatsApp-version ja poistamaan muokatun version välittömästi.

EU jatkaa kohdistetun Facebook- ja Instagram-mainonnan kieltoa