این مودها از اواسط آگوست 2023 فعال بوده و عمدتاً از طریق کانال های مختلف تلگرام با هزاران مشترک توزیع می شدند.
کسپرسکی اعلام کرد که در ماه اکتبر بیش از 340000 حمله جدید جاسوسافزار واتساپ را در بیش از صد کشور خنثی کرده است که بیشترین تعداد نصب نرمافزارهای جاسوسی در جمهوری آذربایجان، عربستان سعودی، یمن، ترکیه و مصر رخ داده است.
به گفته محققان کسپرسکی، علاوه بر کانالهای تلگرام، مدهای آلوده از طریق چندین وبسایت مشکوک که به نسخههای شخص ثالث واتساپ اختصاص داده شدهاند، توزیع میشوند. واتس اپ متعلق به متا به کاربران هشدار می دهد که نسخه های اصلاح شده این برنامه شرایط خدمات آن را نقض می کند.
این مودها حاوی مؤلفهای هستند که میتواند اطلاعات فنی را از دستگاه دریافت کند، مانند زمانی که تلفن شروع به شارژ میکند، زمانی که پیام متنی دریافت میشود یا زمانی که دانلود کامل میشود. اگر تلفن روشن است یا شروع به شارژ می کند، مود می تواند ماژول جاسوسی روی دستگاه را فعال کند.
اطلاعاتی که هکرها می توانند با اجرای این ماژول جاسوسی به دست آورند شامل شماره تلفن قربانی، کد کشور تلفن همراه، کد شبکه تلفن همراه و همچنین مسیرهای آپلود انواع مختلف داده است. علاوه بر این، ماژول جاسوسی اطلاعات مربوط به مخاطبین و حساب های قربانی را هر پنج دقیقه ارسال می کند.
محققان کسپرسکی گفتند که شاهد افزایش تعداد تغییرات برنامه پیامرسانی فوری بودهاند که حاوی کدهای مخرب هستند. در ماه سپتامبر، محققان یک مد تلگرام با ماژول جاسوسی داخلی پیدا کردند که از طریق فروشگاه اپلیکیشن گوگل توزیع شده بود. سال گذشته آنها تروجان Triada را در یک مود WhatsApp کشف کردند.
به گفته وب سایت Record، محققان توصیه می کنند که کاربران فقط از دانلودهای رسمی استفاده کنند تا قربانی این حملات نشوند.
