Secureworks的研究人員發現，Smoke Loader 僵尸網絡背后的網絡犯罪分子正在使用一種名為 Whiffy Recon 的新惡意軟件，通過 WiFi 掃描和 Google 地理定位 API 來定位受感染設備的位置。

Google 的地理定位 API 是一項帶有 WiFi 接入點信息的 HTTPS 請求，能返回緯度和經度坐標以定位沒有 GPS 系統的設備。

在 Whiffy Recon 的案例中，了解受害者的位置有助于更好地針對特定地區甚至城市進行攻擊，或者通過展示跟蹤能力來幫助恐嚇受害者。根據該區域 WiFi 接入點的數量，通過 Google 地理定位 API 進行的三角測量精度范圍可達20米——50 米甚至更小。但在人口密度較低的區域，該精度可能會降低。

惡意軟件首先檢查服務名稱“WLANSVC”，如果不存在，則會將僵尸程序注冊到命令和控制（C2）服務器并跳過掃描部分。

Whiffy Recon 主要功能

對于存在該服務的 Windows 系統，Whiffy Recon 會進入每分鐘運行一次的 WiFi 掃描循環，濫用 Windows WLAN API 來收集所需數據，并向 Google 的地理定位 API 發送包含 JSON 格式的 WiFi 接入點信息的 HTTPS POST 請求。

使用 Google 響應中的坐標，惡意軟件會制定有關接入點更完整的報告，包括其地理位置、加密方法、SSID，并將其作為 JSON POST 請求發送到攻擊者的 C2。

由于此過程每 60 秒發生一次，因此攻擊者可以幾乎實時對設備進行跟蹤。

Secureworks的研究人員于 8 月 8 日發現了這種新型惡意軟件，并注意到惡意軟件在向 C2 發出的初始 POST 請求中使用的版本號是“1”，表明惡意軟件可能還會存在后續開發版本。