CanesSpy, le logiciel espion découvert dans des mods WhatsApp pour Android

Ces versions modifiées de l’application de messagerie instantanée ont été propagées via des sites web douteux faisant la publicité de ces logiciels modifiés, ainsi que sur des canaux Telegram utilisés principalement par des arabophones et des azerbaïdjanais, dont l’un se targue d’avoir deux millions d’utilisateurs.

« Le manifeste du client trojanisé contient des composants suspects (un service et un récepteur de diffusion) qui ne se trouvent pas dans le client WhatsApp original », a déclaré Dmitry Kalinin, chercheur en sécurité chez Kaspersky.

Plus précisément, les nouveaux ajouts sont conçus pour activer le module d’espionnage lorsque le téléphone est allumé ou commence à se charger. Il établit ensuite un contact avec un serveur de commande et de contrôle (C2), puis envoie des informations sur l’appareil compromis, telles que l’IMEI, le numéro de téléphone, le code du pays et le code du réseau mobile. CanesSpy transmet également des informations sur les contacts et les comptes de la victime toutes les cinq minutes, en plus d’attendre d’autres instructions du serveur C2 toutes les minutes, un paramètre qui peut être reconfiguré. L’espion peut également envoyer des fichiers à partir d’une mémoire externe (par exemple, une carte SD amovible), des contacts, enregistrer des sons à partir du microphone, envoyer des données sur la configuration de l’implant et modifier les serveurs C2. Le fait que les messages envoyés au serveur C2 soient tous en arabe indique que le développeur à l’origine de l’opération est arabophone. Une analyse plus approfondie de l’opération montre que le logiciel espion est actif depuis la mi-août 2023, la campagne ciblant principalement l’Azerbaïdjan, l’Arabie saoudite, le Yémen, la Turquie et l’Égypte. Ce développement marque l’abus continu de versions modifiées de services de messagerie tels que Telegram et WhatsApp pour distribuer des logiciels malveillants à des utilisateurs peu méfiants.
WhatsApp, pour sa part, traite les versions non officielles et tierces comme de fausses versions, avertissant que « les versions non officielles et tierces sont des fausses versions ».L’année dernière, la société Meta a également intenté une action en justice contre trois développeurs en Chine et à Taïwan pour avoir distribué des applications WhatsApp non officielles, notamment HeyMods, qui ont compromis plus d’un million de comptes d’utilisateurs. « Les mods WhatsApp sont principalement distribués par des magasins d’applications Android tiers qui manquent souvent de contrôle et ne parviennent pas à supprimer les logiciels malveillants », a déclaré M. Kalinin. « Certaines de ces ressources, telles que les magasins d’applications tiers, les canaux Telegram jouissent d’une popularité considérable, mais ne garantissent pas la sécurité ».