最近,Telegram 和 WhatsApp 等模仿即時通訊應用程序的網站已被用來分發感染 Android 和 Windows 系統的惡意軟件。 這種惡意軟件被稱為 cryptocurrency clipper 惡意軟件,旨在竊取受害者的加密貨幣資金,其中一些專門針對加密貨幣錢包。
斯洛伐克網絡安全公司 ESET 的研究人員 Lukáš Štefanko 和 Peter Strýček 在他們最新的分析報告中表示,“所有這些惡意應用程序都以受害者的加密貨幣資金為目標,其中一些以加密貨幣錢包為目標。”
雖然 Google Play 商店上的第一例加密貨幣剪輯惡意軟件可以追溯到 2019 年,但這一發展標誌著基於 Android 的加密貨幣剪輯惡意軟件首次被內置到即時消息應用程序中。
此外,其中一些應用程序還使用光學字符識別 (OCR) 技術從存儲在受感染設備上的屏幕截圖中識別文本,這在 Android 惡意軟件中也是首創。
攻擊鏈從無意中點擊谷歌搜索結果中的欺詐性廣告開始,導致數百個可疑的 YouTube 頻道,最終將用戶重定向到類似於 Telegram 和 WhatsApp 的網站。
這批最新的加密貨幣剪輯惡意軟件之所以新穎,是因為它能夠攔截受害者的聊天記錄,並將任何已發送或接收的加密貨幣錢包地址替換為威脅參與者控制的地址。
另一個加密貨幣剪輯惡意軟件集群使用 ML Kit(Android 上的合法機器學習插件)來查找和竊取助記詞,可能導致錢包清空。
第三組惡意軟件旨在監控與某些與加密貨幣相關的中文關鍵字相關的電報對話。 如果發現任何相關消息,它會將整個消息、用戶名、群組或頻道名稱以及其他數據洩露給遠程服務器。
最後,Android 剪刀套裝功能更多,包括切換錢包地址、收集設備信息以及消息和聯繫人等 Telegram 數據。
以下是這些惡意APK軟件包的名稱:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET 還發現了兩個基於 Windows 的集群,一個用於交換錢包地址,另一個用於分發遠程訪問。