最近,Telegram 和 WhatsApp 等模仿即时通讯应用程序的网站已被用来分发感染 Android 和 Windows 系统的恶意软件。 这种恶意软件被称为 cryptocurrency clipper 恶意软件,旨在窃取受害者的加密货币资金,其中一些专门针对加密货币钱包。
斯洛伐克网络安全公司 ESET 的研究人员 Lukáš Štefanko 和 Peter Strýček 在他们最新的分析报告中表示,“所有这些恶意应用程序都以受害者的加密货币资金为目标,其中一些以加密货币钱包为目标。”
虽然 Google Play 商店上的第一例加密货币剪辑恶意软件可以追溯到 2019 年,但这一发展标志着基于 Android 的加密货币剪辑恶意软件首次被内置到即时消息应用程序中。
此外,其中一些应用程序还使用光学字符识别 (OCR) 技术从存储在受感染设备上的屏幕截图中识别文本,这在 Android 恶意软件中也是首创。
攻击链从无意中点击谷歌搜索结果中的欺诈性广告开始,导致数百个可疑的 YouTube 频道,最终将用户重定向到类似于 Telegram 和 WhatsApp 的网站。
这批最新的加密货币剪辑恶意软件之所以新颖,是因为它能够拦截受害者的聊天记录,并将任何已发送或接收的加密货币钱包地址替换为威胁参与者控制的地址。
另一个加密货币剪辑恶意软件集群使用 ML Kit(Android 上的合法机器学习插件)来查找和窃取助记词,可能导致钱包清空。
第三组恶意软件旨在监控与某些与加密货币相关的中文关键字相关的电报对话。 如果发现任何相关消息,它会将整个消息、用户名、群组或频道名称以及其他数据泄露给远程服务器。
最后,Android 剪刀套装功能更多,包括切换钱包地址、收集设备信息以及消息和联系人等 Telegram 数据。
以下是这些恶意APK软件包的名称:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp