一些流行的即时通讯服务经常会缺乏某些自定义功能，为了解决这个问题，第三方开发者会开发出一些mod（修改或增强程序），来提供一些受欢迎的功能，但其中一些mod在提供增强功能的同时也会被加入一些恶意软件。去年，卡巴斯基实验室的研究人员在WhatsApp的一个mod中发现了Triada木马。最近，他们又发现了一个嵌入间谍mod的Telegram mod，可通过Google Play传播。

WhatsApp现在的情况与此相同：研究人员发现几个之前无害的mod包含一个间谍mod，他们将该mod检测为Trojan-Spy.AndroidOS.CanesSpy。

研究人员将通过80d7f95b7231cc857b331a993184499d示例来说明间谍mod的工作过程。

木马化的客户端清单包含在原始WhatsApp客户端中找不到的可疑组件(服务和广播接收器)。广播接收器侦听来自系统和其他应用程序的广播，例如手机开始充电，收到的文本消息或下载程序完成下载；当接收方收到这样的消息时，它调用事件处理程序。在WhatsApp间谍mod中，当手机开机或开始充电时，接收方会运行一项服务，启动间谍mod。

可疑的应用组件

该服务查看恶意软件代码中的Application_DM常量，以选择受攻击设备将继续联系的命令与控制(C&C)服务器。

选择命令和控制服务器

当恶意植入启动时，它会沿着路径/api/v1/AllRequest向攻击运营商的服务器发送包含设备信息的POST请求。这些信息包括IMEI、电话号码、移动国家代码、移动网络代码等。该木马还请求配置细节，例如上传各种类型数据的路径、向C&C请求之间的间隔等。此外，该mod每五分钟传送一次有关受害者联系人和账户的信息。

在设备信息成功上传后，恶意软件开始以预先配置的间隔(默认为一分钟)向C&C询问指令，开发人员称之为“命令”。下表包含恶意软件用于向服务器发送响应的命令和路径的详细描述：

发送到指挥控制服务器的信息引起了研究人员的注意，它们都是阿拉伯语，这表明开发者会说阿拉伯语。

在发现WhatsApp mod中的间谍mod后，研究人员决定找出它们是如何传播的。分析发现，Telegram是主要来源。研究人员发现了一些Telegram通道，主要是阿拉伯语和阿塞拜疆语，其中最受欢迎的节目就有近200万订阅者。研究人员提醒Telegram，这些通道被用来传播恶意软件。

在从每个通道下载最新版本的mod (1db5c057a441b10b915dbb14bba99e72, fe46bad0cf5329aea52f8817fa49168c, 80d7f95b7231cc857b331a993184499d)后，研究人员发现它们包含上述间谍mod，这验证了假设。

鉴于恶意软件组件不是原始mod的一部分，研究人员检查了几个最近的版本，并确定了第一个被攻击的版本。根据调查结果，该间谍软件自2023年8月中旬以来一直活跃。在撰写本文时，自那时以来在通道上发布的所有版本都包含恶意软件。然而，后来(如果根据APK中的时间戳判断，大约在10月20日左右)，至少一个通道中的至少一个最新版本被替换为一个干净的版本。

受攻击应用程序中的DEX时间戳(左)和未攻击版本中的DEX时间戳(右)

除了Telegram渠道，受攻击的mod还通过各种可疑的网站传播，这些网站专门用于修改WhatsApp。

10月5日至31日期间，卡巴斯基安全解决方案在100多个国家发现了34万多次由WhatsApp间谍mod发起的攻击。不过，如果考虑到传播渠道的性质，实际安装数量可能会高得多。攻击次数最多的五个国家是阿塞拜疆、沙特阿拉伯、也门、土耳其和埃及。

按发现的WhatsApp间谍mod攻击次数排名的前20个国家

研究人员看到包含恶意软件代码的即时通讯应用mod数量有所增加。WhatsApp的mod大多是通过第三方Android应用商店传播的，这些应用商店往往缺乏筛选，无法清除恶意软件，其中如第三方应用商店和Telegram通道，很受欢迎。但为避免丢失个人数据，建议只使用官方即时通讯客户端；如果用户需要额外的功能，建议使用一个可靠的安全解决方案，可以检测和阻止恶意软件，以防被mod攻击。

参考及来源：https://securelist.com/spyware-whatsapp-mod/110984/