一款Android聊天应用程序声称是一个安全的消息传递平台,然而它具有间谍功能,并将用户数据存储在一个公开的不安全位置。
Welcome Chat的开发者把它作为一种安全的通信app放在Google Play商店中,它的目标受众是阿拉伯语用户,并依赖开源代码来记录通话、窃取短信和跟踪。
然而网络安全公司ESET的研究人员发现,这款应用程序提供的功能远不止广告中宣传的聊天功能,该应用程序允许从未知来源进行安装,随即还会请求允许发送和查看短消息、访问文件、录制音频、访问联系人和设备位置,这些对于聊天应用程序来说都是正常的权限。
如果用户没有注意到这个危险信号,一旦获得用户的同意,Welcome Chat就会开始发送有关设备的信息,并每隔五分钟联系其命令和控制(C2)服务器。
除了监控与其他Welcome Chat用户的交流是这一恶意应用程序的核心外,还并辅之以其他恶意行为:
发送和接收短信
窃取通话历史记录
窃取受害者的联系名单
窃取用户照片
过滤录音电话
发送设备的GPS位置和系统信息
ESET Android恶意软件研究人员卢卡斯·斯特凡科(Lukas Stefanko)今天在一篇博客文章中表示,用于间谍活动的代码大部分来自公共资源,要么来自开源项目,要么来自于在各种论坛上作为示例发布的代码片段,传输的数据没有加密,因此,不仅攻击者可以使用,而且同一网络上的任何人都可以自由访问。
服务器上的应用程序数据库中除了用户帐户密码外,其他内容包括:姓名、电子邮件地址、电话号码、设备令牌、个人资料图片、消息和朋友列表。
最初,研究人员认为Welcome Chat是一个合法的应用程序,被安装了木马程序,并试图警告开发者。然而他们最终发现了该应用程序从一开始就被用于间谍活动,合法开发者的良性变体并不存在。
尽管没有强有力的证据,但Welcome Chat可能是由BadPatch背后的小组操控的,BadPatch是在2017年确定的一项针对中东用户的间谍活动,并且这两者之间用的同一个C2连接做指挥与控制服务器。