自称是安全消息传递平台的Android聊天应用程序正在监视用户数据并将其存储在可公开访问的不安全位置。WelcomeChat针对来自世界特定地区的用户,并依靠开源代码来记录通话、窃取短信和跟踪。开发人员正在推广通用聊天应用程序许可WelcomeChat作为一种安全的通信解决方案,可从GooglePlay商店获得。它的目标受众是阿拉伯语用户。请务必注意,中东的某些国家/地区会阻止这些应用程序。网络安全公司ESET的研究人员发现,该应用程序提供的功能远不止宣传的聊天功能,而且它从未出现在官方Android商店中。Play商店外的应用程序要求用户允许从未知来源安装,这发生在WelcometoChat的情况下。如果用户不注意这个危险信号,应用程序会请求发送和查看短信、访问文件、录制音频以及访问联系人和设备位置的权限。这些权限对于聊天应用程序来说是正常的。一旦开源间谍获得用户同意,WelcomeChat就会开始发送有关设备的信息,并每五分钟联系其命令和控制(C2)服务器获取命令。研究人员表示,监控与其他WelcometoChat用户的通信是恶意应用程序的核心,并辅以以下恶意行为:窃听发送和接收的短信窃取通话记录窃取受害者的联系人列表窃取用户照片窃听日志电话呼叫发送设备的GPS位置以及系统信息。研究人员发现,用于监控的大部分代码都来自公共资源,要么来自开源项目,要么来自各种论坛上作为示例发布的代码片段。开发WelcometoChat的人并没有付出很多努力。他们可能已经在网上搜索了他们想要的间谍功能,并从第一批结果中获取了代码。这一结论得到了某些功能代码年龄的支持,在某些情况下,这些功能已公开至少五年。例如,通话录音和地理跟踪功能已有八年历史。该应用程序及其基础设施缺乏基本的安全性(例如传输中的数据加密)这一事实也表明攻击者技能不高。下载站点的连接也不安全。用户数据可自由访问“传输的数据未加密,因此不仅攻击者可以使用它,而且同一网络上的任何人都可以免费访问它,”ESET的Android恶意软件研究员LukasStefanko今天在一篇博客文章中说.应用程序数据库中包含除用户帐户密码以外的所有内容;姓名、电子邮件地址、电话号码、设备令牌、个人资料图片、消息和好友列表。最初,研究人员认为WelcomeChat是一个合法的应用程序,它被木马化以试图警告开发人员。他们只在VirusTotal上发现了一个干净的变种。它是在2月中旬上传的,在恶意版本被提交到扫描平台一周后,得出的结论是该应用程序从一开始就是为间谍活动而设计的,并且没有来自合法开发人员的良性变体。尽管没有足够的证据,但欢迎聊天可能是BadPatch背后的同一组织所为,BadPatch是2017年发现的针对中东用户的间谍活动。两者之间的连接是两个活动中使用的C2服务器(pal4u.net)。同样的C2服务于Fortinet在2019年发现的另一场针对巴勒斯坦用户的网络间谍活动。
