聊天應用竟是間諜軟件,號稱安全的聊天應用在偷偷的竊取信息
聲稱是安全消息傳遞平臺的Android聊天應用程序具有間諜功能,并將用戶數據存儲在可公開訪問的不安全位置。
歡迎聊天針對的是來自世界特定地區的用戶,并依賴于開源代碼來記錄呼叫,竊取短信和進行跟蹤。
普通聊天應用權限
Welcome Chat的開發人員將其作為一種安全的通信解決方案進行了推廣,可以從Google Play商店中獲得。它的目標受眾是說阿拉伯語的用戶。請務必注意,中東一些國家/地區禁止此類應用。
網絡安全公司ESET的研究人員發現,該應用程序提供的功能遠遠超過廣告中提到的聊天功能,而且它從未成為官方Android商店的一部分。
Play商店外的應用要求用戶允許從未知來源進行安裝,這在“歡迎聊天”的情況下會發生。
如果用戶不注意此紅色標記,則該應用會請求發送和查看SMS消息,訪問文件,記錄音頻以及訪問聯系人和設備位置的權限。這些權限對于聊天應用程序是正常的。

開源間諜
一旦獲得用戶的同意,歡迎聊天就會開始發送有關設備的信息,并每五分鐘聯系其命令和控制(C2)服務器獲取命令。
研究人員說,監視與其他“歡迎聊天”用戶的通信是此惡意應用程序的核心,并輔以以下惡意行為:
- 竊聽發送和接收的短信
- 竊取通話記錄
- 竊取受害者的聯系人列表
- 竊取用戶照片
- 竊聽記錄的電話
- 發送設備的GPS位置以及系統信息
研究人員發現,許多用于監視的代碼來自公共資源,無論是來自開源項目還是作為示例在各種論壇上發布的代碼段。
誰開發了“歡迎聊天”,誰都不會花很多精力。他們可能會在網上尋找所需的間諜功能,并從最初的結果中獲取了代碼。
某些功能的代碼使用年限支持該結論,在某些情況下,這些功能已經公開發布了至少五年。例如,通話記錄和地理跟蹤功能已有八年歷史了。
該應用程序及其基礎結構缺乏基本安全性(例如對傳輸中的數據進行加密)的事實也表明,這是低技能的攻擊者。與下載網站的連接也不安全。

用戶數據可自由訪問
ESET Android惡意軟件研究人員Lukas Stefanko在今天的博客中說:“傳輸的數據未加密,因此攻擊者不僅可以使用它,而且同一網絡上的任何人都可以免費訪問它們。”
服務器上應用程序數據庫中包括用戶帳戶密碼以外的所有內容;名稱,電子郵件地址,電話號碼,設備令牌,個人資料圖片,消息和朋友列表。
最初,研究人員認為,Welcome Chat是經過木馬化并試圖警告開發人員的合法應用。他們只在VirusTotal上找到了一個干凈的變體。
它是在惡意版本提交到掃描平臺一周后的2月中旬上傳的由此得出的結論是,該應用程序從一開始就旨在進行間諜活動,并且不存在來自合法開發人員的良性變體。
盡管沒有充分的證據,但歡迎聊天可能是BadPatch背后的同一個小組的工作,BadPatch是2017年確定的針對中東用戶的間諜活動。兩者之間的連接是兩個廣告系列中使用的C2服務器(pal4u.net)。
相同的C2為福廷特(Fortinet)在2019年發現的針對巴勒斯坦用戶的另一次網絡間諜活動服務。