Android聊天应用Welcome Chat具备间谍功能 – 作者:日影飞趣51

一款Android聊天应用程序声称是一个安全的消息传递平台，然而它具有间谍功能，并将用户数据存储在一个公开的不安全位置。

Welcome Chat的开发者把它作为一种安全的通信app放在Google Play商店中，它的目标受众是阿拉伯语用户，并依赖开源代码来记录通话、窃取短信和跟踪。

然而网络安全公司ESET的研究人员发现，这款应用程序提供的功能远不止广告中宣传的聊天功能，该应用程序允许从未知来源进行安装，随即还会请求允许发送和查看短消息、访问文件、录制音频、访问联系人和设备位置，这些对于聊天应用程序来说都是正常的权限。

如果用户没有注意到这个危险信号，一旦获得用户的同意，Welcome Chat就会开始发送有关设备的信息，并每隔五分钟联系其命令和控制（C2）服务器。

除了监控与其他Welcome Chat用户的交流是这一恶意应用程序的核心外，还并辅之以其他恶意行为：

发送和接收短信

窃取通话历史记录

窃取受害者的联系名单

窃取用户照片

过滤录音电话

发送设备的GPS位置和系统信息

ESET Android恶意软件研究人员卢卡斯·斯特凡科（Lukas Stefanko）今天在一篇博客文章中表示，用于间谍活动的代码大部分来自公共资源，要么来自开源项目，要么来自于在各种论坛上作为示例发布的代码片段，传输的数据没有加密，因此，不仅攻击者可以使用，而且同一网络上的任何人都可以自由访问。

服务器上的应用程序数据库中除了用户帐户密码外，其他内容包括：姓名、电子邮件地址、电话号码、设备令牌、个人资料图片、消息和朋友列表。

最初，研究人员认为Welcome Chat是一个合法的应用程序，被安装了木马程序，并试图警告开发者。然而他们最终发现了该应用程序从一开始就被用于间谍活动，合法开发者的良性变体并不存在。

尽管没有强有力的证据，但Welcome Chat可能是由BadPatch背后的小组操控的，BadPatch是在2017年确定的一项针对中东用户的间谍活动，并且这两者之间用的同一个C2连接做指挥与控制服务器。

参考来源

bleepingcomputer

来源：freebuf.com 2020-07-15 17:37:38 by: 日影飞趣51