freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Android聊天应用Welcome Chat具备间谍功能
2020-07-15 17:37:38

一款Android聊天应用程序声称是一个安全的消息传递平台,然而它具有间谍功能,并将用户数据存储在一个公开的不安全位置。

Welcome Chat的开发者把它作为一种安全的通信app放在Google Play商店中,它的目标受众是阿拉伯语用户,并依赖开源代码来记录通话、窃取短信和跟踪。

然而网络安全公司ESET的研究人员发现,这款应用程序提供的功能远不止广告中宣传的聊天功能,该应用程序允许从未知来源进行安装,随即还会请求允许发送和查看短消息、访问文件、录制音频、访问联系人和设备位置,这些对于聊天应用程序来说都是正常的权限。

如果用户没有注意到这个危险信号,一旦获得用户的同意,Welcome Chat就会开始发送有关设备的信息,并每隔五分钟联系其命令和控制(C2)服务器。

除了监控与其他Welcome Chat用户的交流是这一恶意应用程序的核心外,还并辅之以其他恶意行为:

发送和接收短信

窃取通话历史记录

窃取受害者的联系名单

窃取用户照片

过滤录音电话

发送设备的GPS位置和系统信息

ESET Android恶意软件研究人员卢卡斯·斯特凡科(Lukas Stefanko)今天在一篇博客文章中表示,用于间谍活动的代码大部分来自公共资源,要么来自开源项目,要么来自于在各种论坛上作为示例发布的代码片段,传输的数据没有加密,因此,不仅攻击者可以使用,而且同一网络上的任何人都可以自由访问。

服务器上的应用程序数据库中除了用户帐户密码外,其他内容包括:姓名、电子邮件地址、电话号码、设备令牌、个人资料图片、消息和朋友列表。

最初,研究人员认为Welcome Chat是一个合法的应用程序,被安装了木马程序,并试图警告开发者。然而他们最终发现了该应用程序从一开始就被用于间谍活动,合法开发者的良性变体并不存在。

尽管没有强有力的证据,但Welcome Chat可能是由BadPatch背后的小组操控的,BadPatch是在2017年确定的一项针对中东用户的间谍活动,并且这两者之间用的同一个C2连接做指挥与控制服务器。

参考来源

bleepingcomputer

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者