ESET最近发现了一种恶意操作，即监视受害者并泄露他们的数据。

研究人员在中东发现了一个长期的网络间谍活动，通过恶意的“Welcome”聊天应用对Android用户发起攻击，该操作似乎与名为“BadPatch”的恶意软件有关系，而该恶意软件又与加沙黑客威胁行动者组织Molerats有关系。

研究人员的分析显示，Welcome聊天应用程序允许监视其受害者。然而，它不是简单的间谍软件。Welcome聊天只是一个聊天应用程序，但除了它所提供的聊天功能外，它还在功能中隐藏了间谍设置。

研究人员发现这个间谍软件在一个专门的网站上向渴望聊天的用户推广(这些应用在中东地区的一些国家是被禁止的)(见图1)。这个网站是阿拉伯语的，这与研究人员认为这个行动的攻击目标区域是一致的。该域名于2019年10月注册，然而，研究人员无法确定网站何时启动。

Welcome聊天应用

该恶意网站宣传Welcome聊天应用程序，声称它是谷歌游戏商店提供的安全聊天平台。这两种说法都是错误的。关于“安全”的说法，没有什么比这更脱离事实的了。该聊天平台不仅是间谍工具；最重要的是，它的运营商可以从互联网上免费获得从受害者那里获得的数据。而且该应用程序从未在官方的Android应用程序商店中出现过。

尽管标题说明“高质量，安全且可在Google Play上使用”，但该按钮仍导致直接从恶意网站下载安装文件

功能/分析

用户下载应用程序后，需要激活“允许未知来源安装应用程序”的设置，因为该应用程序不是从Play Store下载的。

安装后，恶意应用程序将请求受害者允许权限，例如发送和查看短信、访问文件、录制音频、访问联系人和设备位置等权限。如此广泛的入侵权限列表通常会让受害者产生怀疑，但对于一个消息应用程序来说，需要这些权限来实现承诺的功能是很自然的。

Welcome间谍软件的权限请求

为了能够与此应用程序的其他用户进行通信，该用户需要注册并创建一个个人帐户（请参见图4）。

Welcome聊天应用的注册/登录对话框

在收到这些权限后，Welcome会立即将有关设备的信息发送到其C＆C，并准备接收命令。它旨在每五分钟与C＆C服务器联系一次。

除了其核心间谍功能，即监视其用户的聊天通信外，Welcome应用程序还可以执行以下恶意操作：过滤已发送和已接收的SMS消息，通话记录历史记录，联系人列表，用户照片，已记录的电话，GPS设备的位置以及设备信息。

Welcome软件是被感染了还是一开始就被设计成了木马程序？

功能性木马应用程序会引起一个有趣的问题：该应用程序是干净应用程序的攻击者木马版本，还是攻击者从头开始开发恶意应用程序？

在这两种情况下，攻击者都很容易监视交换的应用程序内消息，因为它们自然会拥有用户数据库的授权密钥。

尽管第一种选择是木马程序的典型选择，但我们认为在这种特殊情况下，第二种解释更有可能。

通常，木马应用是通过将恶意功能附加到合法应用的过程创建的。攻击者找到并下载了合适的应用程序。反编译后，他们添加了恶意功能并重新编译了现在仍然具有恶意功能的应用程序，以将其传播给所需的受众。

不过以上都是研究人员的猜测，到目前为止，我们还无法发现任何干净版本的Welcome聊天应用程序。不仅在我们所关注的任何Android市场上都找不到它；根据样本分类系统中的二进制匹配算法，我们还没有找到具有这种聊天功能的干净应用程序。有趣的是，2020年2月中旬，一个没有间谍功能的干净版本的Welcome被上传到VirusTotal (hash: 757bd41d5fa99ecee59a3fdccd82)。恶意版本在一周前首次提交给VirusTotal。

这让研究人员相信，攻击者就是有意开发了这个恶意聊天应用程序。为Android创建一个聊天应用并不难，网上有很多详细的教程。通过这种方法，攻击者可以更好地控制该应用程序的恶意功能与其合法功能之间的兼容性，从而可以确保聊天应用程序正常运行。

代码分析

Welcome间谍应用程序似乎专门针对讲阿拉伯语的用户：默认的网站语言和默认的应用内语言均为阿拉伯语。然而，根据代码中保留的调试日志、字符串、类和唯一变量名，研究人员能够确定大多数恶意代码是从公开的开放源代码项目和公开论坛上的代码示例片段复制的。