Android aplikacija Welcome Chat špijunira korisnike i krade njihove podatke

Mobilni telefoni, 15.07.2020, 09:30 AM

Android aplikacija Welcome Chat špijunira korisnike i krade njihove podatke

Aplikacija za ćaskanje za Android za koju se tvrdi da je sigurna platforma za slanje poruka špijunira korisnike i čuva njihove podatke na nebezbednom mestu koje je javno dostupno.

Programeri Welcome Chata reklamirali su aplikaciju kao sigurno rešenje za komunikaciju koje je dostupno u Google Play prodavnici. Ciljana publika su korisnici koji govore arapski jezik. Ipak, treba napomenuti da neke zemlje Bliskog istoka zabranjuju ovu vrstu aplikacija.

Istraživači iz kompanije ESET otkrili su da je aplikacija više od aplikacije za ćaskanje i da nikada nije bila deo Googleove zvanične prodavnice Android aplikacija. Aplikacije koje nisu u Play prodavnici od korisnika zahtevaju da dozvole instalaciju iz nepoznatih izvora, što se događa u slučaju Welcome Chata. Ako korisnike ovaj zahtev ne odgovori od instalacije, aplikacija će tražiti dozvolu za slanje i pregled SMS poruka, pristup fajlovima, snimanje zvuka, pristup kontaktima i pristup lokaciji uređaja. Ove dozvole su normalne za aplikaciju za ćaskanje.

Kada korisnik da saglasnost, Welcome Chat počinje da šalje podatke o uređaju i kontaktira svakih pet minuta server za komande i kontrolu (C2).

Istraživači kažu da je praćenje komunikacije sa drugim korisnicima Welcome Chata svrha ove aplikacije, a osim toga ona krade poslate i primljene poruke, evidenciju poziva, spisak kontakata žrtve, fotografije korisnika, snimljene telefonske pozive i šalje GPS lokaciju uređaja zajedno sa informacijama o sistemu.

Istraživači su otkrili da veliki deo koda koji se koristi za špijuniranje dolazi iz javnih izvora, bilo iz projekata otvorenog koda ili isečaka koda objavljenih kao primer na raznim forumima.

Ko god da je razvio Welcome Chat, nije uložio mnogo truda i vremena. Autori su verovatno potražili na internetu željenu funkcionalnost za špijunažu i uzeli su kod iz prvih rezultata svoje pretrage.

Ovaj zaključak potkrepljuje starost koda za određene funkcije, koji je u nekim slučajevima javno dostupan najmanje pet godina. Na primer, funkcije snimanja poziva i geo-praćenja stare su osam godina.

Da napadači nisu visokokvalifikovani pokazuje i činjenica da aplikaciji i njenoj infrastrukturi nedostaje osnovna sigurnost poput šifrovanja podataka u tranzitu. Veza sa veb sajtom za preuzimanje takođe nije sigurna.

Baza podataka aplikacije na serveru sadrži sve osim lozinke korisničkog naloga - imena, email adrese, brojeve telefona, tokene uređaja, slike profila, poruke i liste prijatelja.

U početku su istraživači verovali da je Welcome Chat legitimna aplikacija koja je “trojanizovana” i pokušali su da upozore programere. Međutim, kasnije su zaključili da je aplikacija od početka bila predviđena za špijuniranje i da benigna verzija koja bi bila delo legitimnog programera ne postoji.

Iako ne postoje snažni dokazi, Welcome Chat možda je delo iste grupe koja stoji iza kampanje špijunaže BadPatch otkrivene 2017. godine, čiji su ciljevi bili korisnici na Bliskom Istoku.

Veza između ove dve kampanje je C2 server, koji se koristio u obe. Isti C2 služio je još jednoj operaciji sajber-špijunaže koju je Fortinet otkrio 2019. godine i koja je ciljala palestinske korisnike.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Slabosti u popularnoj aplikaciji za upoznavanje OkCupid mogu omogućiti hakerima da čitaju poruke korisnika

Slabosti u popularnoj aplikaciji za upoznavanje OkCupid mogu omogućiti hakerima da čitaju poruke korisnika

Istraživači kompanije Check Point upozorili su na nekoliko bezbednosnih problema na popularnoj platformi za online upoznavanje OkCupid koji mogu omo... Dalje

iOS14 otkrio: Instagram uključuje kameru čak i dok samo gledate fotografije u aplikaciji

iOS14 otkrio: Instagram uključuje kameru čak i dok samo gledate fotografije u aplikaciji

Posle baga koji je otkriven u Firefoxu za Android zbog koga kamera telefona ostaje aktivna kada aplikacija radi u pozadini ili čak i kada je telefon ... Dalje

''BadPower'' napad na punjač može uništiti pametni telefon

''BadPower'' napad na punjač može uništiti pametni telefon

Istraživači iz kineske firme Tencent testirali su BadPower napade na 35 modela punjača za brzo punjenje od 234 dostupna na tržištu, i ispostavilo... Dalje

Google iz Play prodavnice uklonio 29 zlonamernih aplikacija za uređivanje fotografija

Google iz Play prodavnice uklonio 29 zlonamernih aplikacija za uređivanje fotografija

Istraživači iz White Ops Satori Threat otkrili su 29 zlonamernih Android aplikacija u Play prodavnici koje imaju ukupno 3,5 miliona preuzimanja i ko... Dalje

Novi Android malver krade lozinke i podatke o platnim karticama iz 337 aplikacija

Novi Android malver krade lozinke i podatke o platnim karticama iz 337 aplikacija

Istraživači firme ThreatFabric otkrili su novog bankarskog trojanca koji cilja ne samo aplikacije banaka, nego krade i podatke i lozinke iz aplikaci... Dalje