声称是安全消息传递平台的Android聊天应用程序具有间谍功能,并将用户数据存储在可公开访问的不安全位置。
欢迎聊天针对的是来自世界特定地区的用户,并依赖于开源代码来记录呼叫,窃取短信和进行跟踪。
普通聊天应用权限
Welcome Chat的开发人员将其作为一种安全的通信解决方案进行了推广,可以从Google Play商店中获得。它的目标受众是说阿拉伯语的用户。请务必注意,中东一些国家/地区禁止此类应用。
网络安全公司ESET的研究人员发现,该应用程序提供的功能远远超过广告中提到的聊天功能,而且它从未成为官方Android商店的一部分。
Play商店外的应用要求用户允许从未知来源进行安装,这在“欢迎聊天”的情况下会发生。
如果用户不注意此红色标记,则该应用会请求发送和查看SMS消息,访问文件,记录音频以及访问联系人和设备位置的权限。这些权限对于聊天应用程序是正常的。
开源间谍
一旦获得用户的同意,欢迎聊天就会开始发送有关设备的信息,并每五分钟联系其命令和控制(C2)服务器获取命令。
研究人员说,监视与其他“欢迎聊天”用户的通信是此恶意应用程序的核心,并辅以以下恶意行为:
- 窃听发送和接收的短信
- 窃取通话记录
- 窃取受害者的联系人列表
- 窃取用户照片
- 窃听记录的电话
- 发送设备的GPS位置以及系统信息
谁开发了“欢迎聊天”,谁都不会花很多精力。他们可能会在网上寻找所需的间谍功能,并从最初的结果中获取了代码。
某些功能的代码使用年限支持该结论,在某些情况下,这些功能已经公开发布了至少五年。例如,通话记录和地理跟踪功能已有八年历史了。
该应用程序及其基础结构缺乏基本安全性(例如对传输中的数据进行加密)的事实也表明,这是低技能的攻击者。与下载网站的连接也不安全。
用户数据可自由访问
ESET Android恶意软件研究人员Lukas Stefanko在今天的博客中说:“传输的数据未加密,因此攻击者不仅可以使用它,而且同一网络上的任何人都可以免费访问它们。”
服务器上应用程序数据库中包括用户帐户密码以外的所有内容;名称,电子邮件地址,电话号码,设备令牌,个人资料图片,消息和朋友列表。
最初,研究人员认为,Welcome Chat是经过木马化并试图警告开发人员的合法应用。他们只在VirusTotal上找到了一个干净的变体。
它是在恶意版本提交到扫描平台一周后的2月中旬上传的由此得出的结论是,该应用程序从一开始就旨在进行间谍活动,并且不存在来自合法开发人员的良性变体。
尽管没有充分的证据,但欢迎聊天可能是BadPatch背后的同一个小组的工作,BadPatch是2017年确定的针对中东用户的间谍活动。两者之间的连接是两个广告系列中使用的C2服务器(pal4u.net)。
相同的C2为福廷特(Fortinet)在2019年发现的针对巴勒斯坦用户的另一次网络间谍活动服务。