聲稱(chēng)是安全消息傳遞平臺(tái)的Android聊天應(yīng)用程序具有間諜功能，并將用戶(hù)數(shù)據(jù)存儲(chǔ)在可公開(kāi)訪(fǎng)問(wèn)的不安全位置。

[[333878]]

歡迎聊天針對(duì)的是來(lái)自世界特定地區(qū)的用戶(hù)，并依賴(lài)于開(kāi)源代碼來(lái)記錄呼叫，竊取短信和進(jìn)行跟蹤。

普通聊天應(yīng)用權(quán)限

Welcome Chat的開(kāi)發(fā)人員將其作為一種安全的通信解決方案進(jìn)行了推廣，可以從Google Play商店中獲得。它的目標(biāo)受眾是說(shuō)阿拉伯語(yǔ)的用戶(hù)。請(qǐng)務(wù)必注意，中東一些國(guó)家/地區(qū)禁止此類(lèi)應(yīng)用。

網(wǎng)絡(luò)安全公司ESET的研究人員發(fā)現(xiàn)，該應(yīng)用程序提供的功能遠(yuǎn)遠(yuǎn)超過(guò)廣告中提到的聊天功能，而且它從未成為官方Android商店的一部分。

Play商店外的應(yīng)用要求用戶(hù)允許從未知來(lái)源進(jìn)行安裝，這在“歡迎聊天”的情況下會(huì)發(fā)生。

如果用戶(hù)不注意此紅色標(biāo)記，則該應(yīng)用會(huì)請(qǐng)求發(fā)送和查看SMS消息，訪(fǎng)問(wèn)文件，記錄音頻以及訪(fǎng)問(wèn)聯(lián)系人和設(shè)備位置的權(quán)限。這些權(quán)限對(duì)于聊天應(yīng)用程序是正常的。

開(kāi)源間諜

一旦獲得用戶(hù)的同意，歡迎聊天就會(huì)開(kāi)始發(fā)送有關(guān)設(shè)備的信息，并每五分鐘聯(lián)系其命令和控制(C2)服務(wù)器獲取命令。

研究人員說(shuō)，監(jiān)視與其他“歡迎聊天”用戶(hù)的通信是此惡意應(yīng)用程序的核心，并輔以以下惡意行為：

• 竊聽(tīng)發(fā)送和接收的短信
• 竊取通話(huà)記錄
• 竊取受害者的聯(lián)系人列表
• 竊取用戶(hù)照片
• 竊聽(tīng)記錄的電話(huà)
• 發(fā)送設(shè)備的GPS位置以及系統(tǒng)信息

研究人員發(fā)現(xiàn)，許多用于監(jiān)視的代碼來(lái)自公共資源，無(wú)論是來(lái)自開(kāi)源項(xiàng)目還是作為示例在各種論壇上發(fā)布的代碼段。

誰(shuí)開(kāi)發(fā)了“歡迎聊天”，誰(shuí)都不會(huì)花很多精力。他們可能會(huì)在網(wǎng)上尋找所需的間諜功能，并從最初的結(jié)果中獲取了代碼。

某些功能的代碼使用年限支持該結(jié)論，在某些情況下，這些功能已經(jīng)公開(kāi)發(fā)布了至少五年。例如，通話(huà)記錄和地理跟蹤功能已有八年歷史了。

該應(yīng)用程序及其基礎(chǔ)結(jié)構(gòu)缺乏基本安全性(例如對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密)的事實(shí)也表明，這是低技能的攻擊者。與下載網(wǎng)站的連接也不安全。

用戶(hù)數(shù)據(jù)可自由訪(fǎng)問(wèn)

ESET Android惡意軟件研究人員Lukas Stefanko在今天的博客中說(shuō)：“傳輸?shù)臄?shù)據(jù)未加密，因此攻擊者不僅可以使用它，而且同一網(wǎng)絡(luò)上的任何人都可以免費(fèi)訪(fǎng)問(wèn)它們。”

服務(wù)器上應(yīng)用程序數(shù)據(jù)庫(kù)中包括用戶(hù)帳戶(hù)密碼以外的所有內(nèi)容;名稱(chēng)，電子郵件地址，電話(huà)號(hào)碼，設(shè)備令牌，個(gè)人資料圖片，消息和朋友列表。

最初，研究人員認(rèn)為，Welcome Chat是經(jīng)過(guò)木馬化并試圖警告開(kāi)發(fā)人員的合法應(yīng)用。他們只在VirusTotal上找到了一個(gè)干凈的變體。

它是在惡意版本提交到掃描平臺(tái)一周后的2月中旬上傳的由此得出的結(jié)論是，該應(yīng)用程序從一開(kāi)始就旨在進(jìn)行間諜活動(dòng)，并且不存在來(lái)自合法開(kāi)發(fā)人員的良性變體。

盡管沒(méi)有充分的證據(jù)，但歡迎聊天可能是BadPatch背后的同一個(gè)小組的工作，BadPatch是2017年確定的針對(duì)中東用戶(hù)的間諜活動(dòng)。兩者之間的連接是兩個(gè)廣告系列中使用的C2服務(wù)器(pal4u.net)。

相同的C2為福廷特(Fortinet)在2019年發(fā)現(xiàn)的針對(duì)巴勒斯坦用戶(hù)的另一次網(wǎng)絡(luò)間諜活動(dòng)服務(wù)。