Kürzlich wurden Websites, die Instant-Messaging-Anwendungen wie Telegram und WhatsApp nachahmen, verwendet, um Malware zu verbreiten, die Android- und Windows-Systeme infiziert. Diese Malware ist als Kryptowährungs-Clipper-Malware bekannt, die darauf abzielt, die Kryptowährungsgelder der Opfer zu stehlen, wobei einige speziell auf Kryptowährungs-Wallets abzielen.
Die Forscher Lukáš Štefanko und Peter Strýček vom slowakischen Cybersicherheitsunternehmen ESET erklärten in ihrem neuesten Analysebericht: „Alle diese bösartigen Anwendungen zielen auf die Kryptowährungsgelder der Opfer ab, wobei einige auf Kryptowährungs-Wallets abzielen.“
Obwohl die erste Instanz von Kryptowährungs-Clipper-Malware im Google Play Store bis ins Jahr 2019 zurückverfolgt werden kann, ist diese Entwicklung das erste Mal, dass Android-basierte Kryptowährungs-Clipper-Malware in Instant-Messaging-Anwendungen integriert wurde.
Darüber hinaus verwenden einige dieser Anwendungen auch die Technologie der optischen Zeichenerkennung (OCR), um Text aus Screenshots zu identifizieren, die auf infizierten Geräten gespeichert sind, was ebenfalls eine Premiere bei Android-Malware ist.
Die Angriffskette beginnt mit dem unbeabsichtigten Klicken auf betrügerische Anzeigen in den Google-Suchergebnissen, was zu Hunderten von verdächtigen YouTube-Kanälen führt und die Benutzer schließlich auf Websites weiterleitet, die Telegram und WhatsApp ähneln.
Was diese neueste Charge von Kryptowährungs-Clipper-Malware so neuartig macht, ist ihre Fähigkeit, die Chatprotokolle der Opfer abzufangen und alle gesendeten oder empfangenen Kryptowährungs-Wallet-Adressen durch diejenigen zu ersetzen, die von Angreifern kontrolliert werden.
Ein weiterer Cluster von Cryptocurrency-Clipper-Malware verwendet ML Kit, ein legitimes Plugin für maschinelles Lernen auf Android, um Seed Phrases zu finden und zu stehlen, was möglicherweise dazu führt, dass Wallets geleert werden.
Ein dritter Malware-Cluster zielt darauf ab, Telegram-Konversationen im Zusammenhang mit bestimmten chinesischen Schlüsselwörtern im Zusammenhang mit Kryptowährung zu überwachen. Wenn relevante Nachrichten gefunden werden, werden die gesamte Nachricht, der Benutzername, der Gruppen- oder Kanalname und andere Daten an Remote-Server weitergegeben.
Schließlich verfügt ein Android-Clipper-Set über mehr Funktionen, darunter das Wechseln von Brieftaschenadressen, das Sammeln von Geräteinformationen und Telegrammdaten wie Nachrichten und Kontakte.
Im Folgenden sind die Namen dieser schädlichen APK-Softwarepakete aufgeführt:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
de.whatsapp
ESET entdeckte auch zwei Windows-basierte Cluster, einen zum Austauschen von Wallet-Adressen und den anderen zum Verteilen des Fernzugriffs.
