WolfRAT間諜程式專門竊取WhatsApp、Messenger及Line的通訊內容

Cisco Talos本周揭露一專門竊取通訊程式內容的Android間諜程式WolfRAT，在偵測到使用者開啟特定程式時，就會拍下通訊畫面，並上傳到由駭客所掌控的C&C伺服器，主要目標為泰國的Android手機用戶。

WolfRAT一開始先偽裝成合法服務，像是Google Play或是Flash更新程式，但在使用者安裝後即會伺機竊取裝置上的機密通訊，當使用者開啟WhatsApp、Messenger或Line程式之後，就會進行螢幕截圖，再把它們傳給駭客。

其實WolfRAT並不是個複雜的間諜程式，它複製了許多公開的程式碼，還使用了已被列為惡意的C&C伺服器，研究人員公布WolfRAT的用意之一，是想昭告天下，惡名昭彰的間諜程式組織Wolf Research可能又回來了。

Wolf Research為德國專門開發間諜與竊聽程式的業者，CSIS的研究人員曾在2018年公開其惡行，還公布該公司在賽浦勒斯、保加利亞、羅馬尼亞、印度或美國都設有辦公室，之後Wolf Research就關閉了。

然而，Cisco Talos卻發現WolfRAT與Wolf Research之間的連結，例如它們使用了同樣的C&C伺服器，有雷同的架構，也都相準Android手機；同時也相信WolfRAT成員已另起爐灶，在賽浦勒斯成立了新的LokD公司，LokD對外宣稱可提供更安全的Android手機，也研究Android手機的零時差漏洞，而LokD即是WolfRAT的掩護。

儘管WolfRAT只具備業餘的水準，它主要複製了之前曾在網路上流傳的惡意程式DenDroid，且類別永遠無法變成實例，還使用不穩定的套件與不安全的面板，但研究人員認為，有效的產品比穩定的產品還重要，猜測WolfRAT可能是為了迎合客戶的時效性所開發出的急就章產品。