Spyware CanesSpy Ditemukan dalam Versi WhatsApp Modifikasi
Cyberthreat.id - Peneliti keamanan siber telah menemukan sejumlah mod WhatsApp untuk Android yang dilengkapi dengan modul spyware yang dijuluki CanesSpy.
Versi modifikasi dari aplikasi perpesanan instan ini terlihat disebarkan melalui situs web samar yang mengiklankan perangkat lunak yang dimodifikasi tersebut serta saluran Telegram yang terutama digunakan oleh penutur bahasa Arab dan Azerbaijan, yang salah satunya memiliki dua juta pengguna.
“Manifes klien yang ditrojan berisi komponen mencurigakan (layanan dan penerima siaran) yang tidak dapat ditemukan di klien WhatsApp asli,” kata peneliti keamanan Kaspersky Dmitry Kalinin kepada The Hacker News.
Secara khusus, tambahan baru ini dirancang untuk mengaktifkan modul spyware saat ponsel dihidupkan atau mulai mengisi daya.
Ini melanjutkan dengan menjalin kontak dengan server perintah dan kontrol (C2), diikuti dengan mengirimkan informasi tentang perangkat yang disusupi, seperti IMEI, nomor telepon, kode negara seluler, dan kode jaringan seluler.
CanesSpy juga mengirimkan rincian tentang kontak dan akun korban setiap lima menit, selain menunggu instruksi lebih lanjut dari server C2 setiap menit, sebuah pengaturan yang dapat dikonfigurasi ulang.
Ini termasuk mengirim file dari penyimpanan eksternal (misalnya kartu SD yang dapat dilepas), kontak, merekam suara dari mikrofon, mengirim data tentang konfigurasi implan, dan mengubah server C2.
Fakta bahwa pesan yang dikirim ke server C2 semuanya dalam bahasa Arab menunjukkan bahwa pengembang di balik operasi tersebut adalah seorang penutur bahasa Arab.
Analisis lebih lanjut mengenai operasi tersebut menunjukkan bahwa spyware tersebut telah aktif sejak pertengahan Agustus 2023, dengan kampanye tersebut terutama menargetkan Azerbaijan, Arab Saudi, Yaman, Turki, dan Mesir.
Perkembangan ini menandai berlanjutnya penyalahgunaan versi layanan perpesanan yang dimodifikasi seperti Telegram dan WhatsApp untuk mendistribusikan malware kepada pengguna yang tidak menaruh curiga.
WhatsApp, pada bagiannya, memperlakukan versi tidak resmi dan pihak ketiga sebagai palsu, memperingatkan bahwa “kami tidak dapat memvalidasi praktik keamanan mereka” dan bahwa penggunaannya dapat menimbulkan risiko membawa malware yang dapat melanggar privasi dan keamanan pelanggan.
Tahun lalu, perusahaan milik Meta juga mengajukan gugatan terhadap tiga pengembang di China dan Taiwan karena mendistribusikan aplikasi WhatsApp tidak resmi, termasuk HeyMods, yang mengakibatkan lebih dari satu juta akun pengguna disusupi.
“Mod WhatsApp sebagian besar didistribusikan melalui toko aplikasi Android pihak ketiga, yang seringkali kurang memiliki penyaringan dan gagal dalam menghapus malware,” kata Kalinin.
“Beberapa sumber daya ini, seperti toko aplikasi pihak ketiga dan saluran Telegram, sangat populer, namun hal tersebut tidak menjamin keamanannya.”[]