声称是安全消息传递平台的Android聊天应用程序具有间谍功能，并将用户数据存储在可公开访问的不安全位置。

欢迎聊天针对的是来自世界特定地区的用户，并依赖于开源代码来记录呼叫，窃取短信和进行跟踪。

普通聊天应用权限

Welcome Chat的开发人员将其作为一种安全的通信解决方案进行了推广，可以从Google Play商店中获得。它的目标受众是说阿拉伯语的用户。请务必注意，中东一些国家/地区禁止此类应用。

网络安全公司ESET的研究人员发现，该应用程序提供的功能远远超过广告中提到的聊天功能，而且它从未成为官方Android商店的一部分。

Play商店外的应用要求用户允许从未知来源进行安装，这在“欢迎聊天”的情况下会发生。

如果用户不注意此红色标记，则该应用会请求发送和查看SMS消息，访问文件，记录音频以及访问联系人和设备位置的权限。这些权限对于聊天应用程序是正常的。

开源间谍

一旦获得用户的同意，欢迎聊天就会开始发送有关设备的信息，并每五分钟联系其命令和控制（C2）服务器获取命令。

研究人员说，监视与其他“欢迎聊天”用户的通信是此恶意应用程序的核心，并辅以以下恶意行为：

窃听发送和接收的短信
窃取通话记录
窃取受害者的联系人列表
窃取用户照片
窃听记录的电话
发送设备的GPS位置以及系统信息

研究人员发现，许多用于监视的代码来自公共资源，无论是来自开源项目还是作为示例在各种论坛上发布的代码段。

谁开发了“欢迎聊天”，谁都不会花很多精力。他们可能会在网上寻找所需的间谍功能，并从最初的结果中获取了代码。

某些功能的代码使用年限支持该结论，在某些情况下，这些功能已经公开发布了至少五年。例如，通话记录和地理跟踪功能已有八年历史了。

该应用程序及其基础结构缺乏基本安全性（例如对传输中的数据进行加密）的事实也表明，这是低技能的攻击者。与下载网站的连接也不安全。

用户数据可自由访问

ESET Android恶意软件研究人员Lukas Stefanko在今天的博客中说：“传输的数据未加密，因此攻击者不仅可以使用它，而且同一网络上的任何人都可以免费访问它们。”

服务器上应用程序数据库中包括用户帐户密码以外的所有内容；名称，电子邮件地址，电话号码，设备令牌，个人资料图片，消息和朋友列表。

最初，研究人员认为，Welcome Chat是经过木马化并试图警告开发人员的合法应用。他们只在VirusTotal上找到了一个干净的变体。

它是在恶意版本提交到扫描平台一周后的2月中旬上传的由此得出的结论是，该应用程序从一开始就旨在进行间谍活动，并且不存在来自合法开发人员的良性变体。

尽管没有充分的证据，但欢迎聊天可能是BadPatch背后的同一个小组的工作，BadPatch是2017年确定的针对中东用户的间谍活动。两者之间的连接是两个广告系列中使用的C2服务器（pal4u.net）。

相同的C2为福廷特（Fortinet）在2019年发现的针对巴勒斯坦用户的另一次网络间谍活动服务。