一款Android聊天應用程序聲稱是一個安全的消息傳遞平臺，然而它具有間諜功能，並將用戶數據存儲在一個公開的不安全位置。

Welcome Chat的開發者把它作爲一種安全的通信app放在Google Play商店中，它的目標受衆是阿拉伯語用戶，並依賴開源代碼來記錄通話、竊取短信和跟蹤。

然而網絡安全公司ESET的研究人員發現，這款應用程序提供的功能遠不止廣告中宣傳的聊天功能，該應用程序允許從未知來源進行安裝，隨即還會請求允許發送和查看短消息、訪問文件、錄製音頻、訪問聯繫人和設備位置，這些對於聊天應用程序來說都是正常的權限。

如果用戶沒有注意到這個危險信號，一旦獲得用戶的同意，Welcome Chat就會開始發送有關設備的信息，並每隔五分鐘聯繫其命令和控制（C2）服務器。

除了監控與其他Welcome Chat用戶的交流是這一惡意應用程序的核心外，還並輔之以其他惡意行爲：

ESET Android惡意軟件研究人員盧卡斯·斯特凡科（Lukas Stefanko）今天在一篇博客文章中表示，用於間諜活動的代碼大部分來自公共資源，要麼來自開源項目，要麼來自於在各種論壇上作爲示例發佈的代碼片段，傳輸的數據沒有加密，因此，不僅攻擊者可以使用，而且同一網絡上的任何人都可以自由訪問。

服務器上的應用程序數據庫中除了用戶帳戶密碼外，其他內容包括：姓名、電子郵件地址、電話號碼、設備令牌、個人資料圖片、消息和朋友列表。

最初，研究人員認爲Welcome Chat是一個合法的應用程序，被安裝了木馬程序，並試圖警告開發者。然而他們最終發現了該應用程序從一開始就被用於間諜活動，合法開發者的良性變體並不存在。

儘管沒有強有力的證據，但Welcome Chat可能是由BadPatch背後的小組操控的，BadPatch是在2017年確定的一項針對中東用戶的間諜活動，並且這兩者之間用的同一個C2連接做指揮與控制服務器。

相關文章