최근 Telegram 및 WhatsApp과 같은 인스턴트 메시징 애플리케이션을 모방한 웹사이트가 Android 및 Windows 시스템을 감염시키는 맬웨어를 배포하는 데 사용되었습니다. 이 멀웨어는 cryptocurrency clipper 멀웨어로 알려져 있으며 피해자의 cryptocurrency 자금을 훔치는 것을 목표로 하며 일부는 특히 cryptocurrency 지갑을 대상으로 합니다.
슬로바키아 사이버 보안 회사 ESET의 연구원 Lukáš Štefanko와 Peter Strýček은 최신 분석 보고서에서
이러한 모든 악성 애플리케이션은 피해자의 암호화폐 자금을 표적으로 삼고 일부는 암호화폐 지갑을 표적으로 삼습니다.
라고 밝혔습니다.
Google Play 스토어에서 암호화폐 클리퍼 맬웨어의 첫 번째 사례는 2019년으로 거슬러 올라갈 수 있지만, 이번 개발은 Android 기반 암호화폐 클리퍼 맬웨어가 인스턴트 메시징 애플리케이션에 내장된 최초의 사례입니다.
또한 이러한 애플리케이션 중 일부는 광학 문자 인식(OCR) 기술을 사용하여 감염된 장치에 저장된 스크린샷에서 텍스트를 식별하며, 이는 Android 맬웨어에서도 처음입니다.
공격 체인은 의도치 않게 Google 검색 결과의 사기성 광고를 클릭하는 것으로 시작하여 수백 개의 의심스러운 YouTube 채널로 이어지고 결국 사용자를 Telegram 및 WhatsApp과 유사한 웹사이트로 리디렉션합니다.
이 최신 암호화폐 클리퍼 맬웨어 배치를 참신하게 만드는 것은 피해자의 채팅 로그를 가로채서 보내거나 받은 암호화폐 지갑 주소를 위협 행위자가 제어하는 것으로 대체하는 기능입니다.
또 다른 암호화폐 클리퍼 멀웨어 클러스터는 Android의 합법적인 기계 학습 플러그인인 ML Kit를 사용하여 시드 문구를 찾아 훔쳐 잠재적으로 지갑을 비울 수 있습니다.
세 번째 맬웨어 클러스터는 암호화폐와 관련된 특정 중국어 키워드와 관련된 텔레그램 대화를 모니터링하는 것을 목표로 합니다. 관련 메시지가 발견되면 전체 메시지, 사용자 이름, 그룹 또는 채널 이름 및 기타 데이터를 원격 서버로 유출합니다.
마지막으로 Android 클리퍼 세트에는 지갑 주소 전환, 장치 정보 수집, 메시지 및 연락처와 같은 Telegram 데이터를 포함하여 더 많은 기능이 있습니다.
다음은 이러한 악성 APK 소프트웨어 패키지의 이름입니다.
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET은 또한 두 개의 Windows 기반 클러스터를 발견했습니다. 하나는 지갑 주소를 교환하고 다른 하나는 원격 액세스를 분산하도록 설계되었습니다.
