Android aplikacija Welcome Chat špijunira korisnike i krade njihove podatke

Mobilni telefoni, 15.07.2020, 09:30 AM

Android aplikacija Welcome Chat špijunira korisnike i krade njihove podatke

Aplikacija za ćaskanje za Android za koju se tvrdi da je sigurna platforma za slanje poruka špijunira korisnike i čuva njihove podatke na nebezbednom mestu koje je javno dostupno.

Programeri Welcome Chata reklamirali su aplikaciju kao sigurno rešenje za komunikaciju koje je dostupno u Google Play prodavnici. Ciljana publika su korisnici koji govore arapski jezik. Ipak, treba napomenuti da neke zemlje Bliskog istoka zabranjuju ovu vrstu aplikacija.

Istraživači iz kompanije ESET otkrili su da je aplikacija više od aplikacije za ćaskanje i da nikada nije bila deo Googleove zvanične prodavnice Android aplikacija. Aplikacije koje nisu u Play prodavnici od korisnika zahtevaju da dozvole instalaciju iz nepoznatih izvora, što se događa u slučaju Welcome Chata. Ako korisnike ovaj zahtev ne odgovori od instalacije, aplikacija će tražiti dozvolu za slanje i pregled SMS poruka, pristup fajlovima, snimanje zvuka, pristup kontaktima i pristup lokaciji uređaja. Ove dozvole su normalne za aplikaciju za ćaskanje.

Kada korisnik da saglasnost, Welcome Chat počinje da šalje podatke o uređaju i kontaktira svakih pet minuta server za komande i kontrolu (C2).

Istraživači kažu da je praćenje komunikacije sa drugim korisnicima Welcome Chata svrha ove aplikacije, a osim toga ona krade poslate i primljene poruke, evidenciju poziva, spisak kontakata žrtve, fotografije korisnika, snimljene telefonske pozive i šalje GPS lokaciju uređaja zajedno sa informacijama o sistemu.

Istraživači su otkrili da veliki deo koda koji se koristi za špijuniranje dolazi iz javnih izvora, bilo iz projekata otvorenog koda ili isečaka koda objavljenih kao primer na raznim forumima.

Ko god da je razvio Welcome Chat, nije uložio mnogo truda i vremena. Autori su verovatno potražili na internetu željenu funkcionalnost za špijunažu i uzeli su kod iz prvih rezultata svoje pretrage.

Ovaj zaključak potkrepljuje starost koda za određene funkcije, koji je u nekim slučajevima javno dostupan najmanje pet godina. Na primer, funkcije snimanja poziva i geo-praćenja stare su osam godina.

Da napadači nisu visokokvalifikovani pokazuje i činjenica da aplikaciji i njenoj infrastrukturi nedostaje osnovna sigurnost poput šifrovanja podataka u tranzitu. Veza sa veb sajtom za preuzimanje takođe nije sigurna.

Baza podataka aplikacije na serveru sadrži sve osim lozinke korisničkog naloga - imena, email adrese, brojeve telefona, tokene uređaja, slike profila, poruke i liste prijatelja.

U početku su istraživači verovali da je Welcome Chat legitimna aplikacija koja je “trojanizovana” i pokušali su da upozore programere. Međutim, kasnije su zaključili da je aplikacija od početka bila predviđena za špijuniranje i da benigna verzija koja bi bila delo legitimnog programera ne postoji.

Iako ne postoje snažni dokazi, Welcome Chat možda je delo iste grupe koja stoji iza kampanje špijunaže BadPatch otkrivene 2017. godine, čiji su ciljevi bili korisnici na Bliskom Istoku.

Veza između ove dve kampanje je C2 server, koji se koristio u obe. Isti C2 služio je još jednoj operaciji sajber-špijunaže koju je Fortinet otkrio 2019. godine i koja je ciljala palestinske korisnike.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog obmanjivanja korisnika, zabranjene reklame za igre Homescapes i Gardenscapes

Zbog obmanjivanja korisnika, zabranjene reklame za igre Homescapes i Gardenscapes

Britansko nadzorno telo koje kontroliše poštovanje standarda oglašavanja (ASA) zabranilo je dve reklame za mobilne igre zbog toga što obmanjuju ko... Dalje

Android ransomware MalLocker aktivira se pritiskom na dugme Home

Android ransomware MalLocker aktivira se pritiskom na dugme Home

Istraživači Microsofta otkrili su novu verziju sofisticiranog ransomwarea za Android poznatog pod imenom MalLocker koji zaključava mobilne uređaje... Dalje

Zbog bombardovanja korisnika reklamama, Google iz Play prodavnice uklonio više od 240 aplikacija

Zbog bombardovanja korisnika reklamama, Google iz Play prodavnice uklonio više od 240 aplikacija

Google je ovog leta uklonio više od 240 Android aplikacija iz Play prodavnice zbog prikazivanja vankontekstualnih oglasa i kršenja novouvedenih Goog... Dalje

Chrome će upozoravati korisnike Androida i iPhonea kada im je lozinka hakovana

Chrome će upozoravati korisnike Androida i iPhonea kada im je lozinka hakovana

Chrome sada i na vašem pametnom telefonu može da proveri da li su vaše lozinke hakovane. Ta funkcija je ranije radila samo na računarima, ali sada... Dalje

Bag u aplikaciji za upoznavanje Grindr: Za hakovanje naloga dovoljno je znati email adresu korisnika

Bag u aplikaciji za upoznavanje Grindr: Za hakovanje naloga dovoljno je znati email adresu korisnika

Od aplikacije za upoznavanje koja zna seksualnost i HIV status korisnika očekivalo bi se da preduzima mere predostrožnosti kako bi te informacije za... Dalje