Les chercheurs en cybersécurité ont découvert un certain nombre de mods WhatsApp pour Android équipés d’un module de logiciel espion baptisé CannesEspion.
Ces versions modifiées de l’application de messagerie instantanée ont été observées propagées via des sites Web fragmentaires faisant la publicité de tels logiciels modifiés ainsi que sur des chaînes Telegram utilisées principalement par des locuteurs arabes et azerbaïdjanais, dont l’un compte deux millions d’utilisateurs.
« Le manifeste client trojanisé contient des composants suspects (un service et un récepteur de diffusion) qui sont introuvables dans le client WhatsApp d’origine », a déclaré Dmitry Kalinin, chercheur en sécurité chez Kaspersky. dit.
Plus précisément, les nouveaux ajouts sont conçus pour activer le module anti-spyware lorsque le téléphone est allumé ou commence à se charger.
Il établit ensuite le contact avec un serveur de commande et de contrôle (C2), puis envoie des informations sur l’appareil compromis, telles que l’IMEI, le numéro de téléphone, l’indicatif du pays du mobile et le code du réseau mobile.
CanesSpy transmet également des détails sur les contacts et les comptes de la victime toutes les cinq minutes, en plus d’attendre des instructions supplémentaires du serveur C2 toutes les minutes, un paramètre qui peut être reconfiguré.
Cela inclut l’envoi de fichiers depuis un stockage externe (par exemple, une carte SD amovible), des contacts, l’enregistrement du son du microphone, l’envoi de données sur la configuration de l’implant et la modification des serveurs C2.
Le fait que les messages envoyés au serveur C2 soient tous en arabe indique que le développeur à l’origine de l’opération est arabophone.
Une analyse plus approfondie de l’opération montre que le logiciel espion est actif depuis la mi-août 2023, la campagne ciblant principalement l’Azerbaïdjan, l’Arabie saoudite, le Yémen, la Turquie et l’Égypte.
Ce développement marque l’abus continu des versions modifiées des services de messagerie comme Télégramme et WhatsApp pour distribuer des logiciels malveillants à des utilisateurs sans méfiance.
WhatsApp, pour sa part, considère les versions non officielles et tierces comme fausses, avertissant que « nous ne pouvons pas valider leurs pratiques de sécurité » et que en utilisant eux peut présenter le risque de contenir des logiciels malveillants susceptibles de porter atteinte à la confidentialité et à la sécurité des clients.
L’année dernière, la société appartenant à Meta a également a déposé une plainte contre trois développeurs en Chine et à Taiwan pour avoir distribué des applications WhatsApp non officielles, dont HeyMods, qui ont entraîné la compromission de plus d’un million de comptes d’utilisateurs.
« Les mods WhatsApp sont principalement distribués via des magasins d’applications Android tiers, qui manquent souvent de contrôle et ne parviennent pas à supprimer les logiciels malveillants », a déclaré Kalinin. « Certaines de ces ressources, telles que les magasins d’applications tiers et les chaînes Telegram, jouissent d’une popularité considérable, mais cela ne garantit pas leur sécurité. »
