WhtasApp和Telegram已經成為現代人不可或缺的應用程式,而網絡上也出現不少修改模組出現,具備官方版沒提供的功能,但也有網絡攻擊者乘機混水摸魚,從中加入惡意程式令用戶誤墮陷阱。
WhatsApp和Telegram的修改模組
WhatsApp和Telegram的修改模組出現,源於有人認為官方版本缺分某些功能,所以想額外修改界面或新增某些功能,例如隱藏對話、自動傳送訊息或觀看對方已刪除的訊息等等,不同的用戶有很多各自的不同需要。而第三方開發者則透過修改模組的方法,令WhatsApp和Telegram能夠滿足某些用戶的特定需要,這是修改模組的好處,但安裝的用戶不但需要信任應用程式的官方開發者,也要相信修改模組的開發者,因為後者有可能把惡意模組加入到應用程式之內。
以WhatsApp的個案,修改模組的情況就更加複雜,因為官方並不容許修改模組,所以會加以阻撓用戶使用修改模式,儘管暫時仍未成功,但在阻止替代的客端從Google Play及App Store上架取得一定成功。結果是WhatsApp修改模組的用戶習慣從其他渠道下載,大膽地下載APK檔,開啟允許來自不明來源的安裝,把修改模組安裝到手機上運行,因此被網絡犯罪份子利用這種粗心大意,把惡意程式加入到修改模組之內。
從Telegram散播被感染的WhatsApp修改模組
較早前Kaspersky的研究人員發現款之前並沒有惡意活動的WhatsApp修改模組,當中含有間諜模組Trojan-Spy.AndroidOS.CanesSpy。在安裝到受害者智能手機之後,感染的WhatsApp修改模組便會等待電話啟動或進行充電時,才會執行間諜模組,從清單中連繫其中一台C&C伺服器並上載不同資料,例如電話號碼、IMEI、流動網絡編號等等,更會把受害者的聯統人及帳號資料每5分鐘發送一次。不計算服務指令的話,間諜模組主要執行兩大功能:
- 搜尋智能手機的記憶體內的檔案(非系統部份)發送到操作員手上
- 利用內置的米高峰錄音然後發送至C&C伺服器
暫時發現受感染的WhatsApp修改模組,正在阿拉伯和阿塞拜疆的Telegram頻道上散播,以GBWhatsApp、WhatsApp Plus和AZE PLUS等知名的修改模組(把界面轉換成阿塞拜疆語)成為掩蓋。另外也在WhatsApp修改模組下載網站中,發然含有間諜模組的APK模案可供下載,從10月起Kaspersky的保安方案偵測和防止了超過100個國家34萬多次的攻擊,可以想像沒有安裝保安方案或被其他方案所攔截的數量可能會更多。
防範通訊軟件間諜程式
在通訊軟件的修改模組上發現惡意模組並非首次,用戶必需加倍警剔以防止掉入陷阱:
- 只使用官方WhatsApp和Telegram應用程式
- 只從官方途徑安裝應用程式,儘管並非完全免疫於惡意程式,至少比第三方網站安全得多。
- 在安裝任何應用程式前,先查證應用程式的真偽。
- 檢查其他用戶對應用程式的評價,尤其負面評價,可能找到惡意活動的蛛絲馬跡。
- 安裝可靠的保安方案,及時提出警告。
資料來源:Kaspersky Blog