最近、Telegram や WhatsApp などのインスタント メッセージング アプリケーションを模倣した Web サイトが、Android や Windows システムに感染するマルウェアの配布に使用されています。 このマルウェアは、仮想通貨クリッパー マルウェアとして知られており、被害者の仮想通貨資金を盗むことを目的としており、特に仮想通貨ウォレットを標的とするものもあります。
スロバキアのサイバーセキュリティ会社 ESET の研究者である Lukáš Štefanko と Peter Strýček は、最新の分析レポートで、「これらの悪意のあるアプリケーションはすべて、被害者の暗号通貨の資金を標的にしており、一部は暗号通貨のウォレットを標的にしている」と述べています。
Google Play ストアでの暗号通貨クリッパー マルウェアの最初のインスタンスは 2019 年にさかのぼることができますが、Android ベースの暗号通貨クリッパー マルウェアがインスタント メッセージング アプリケーションに組み込まれたのは今回が初めてです。
さらに、これらのアプリケーションの中には、光学式文字認識 (OCR) 技術を使用して、感染したデバイスに保存されたスクリーンショットからテキストを識別するものもあり、これも Android マルウェアでは初めてです。
攻撃チェーンは、Google 検索結果の不正な広告を意図せずにクリックすることから始まり、何百もの疑わしい YouTube チャンネルにつながり、最終的にユーザーを Telegram や WhatsApp に似た Web サイトにリダイレクトします。
この暗号通貨クリッパー マルウェアの最新のバッチを斬新なものにしているのは、被害者のチャット ログを傍受し、送受信された暗号通貨ウォレット アドレスを攻撃者が制御するものに置き換える能力です。
暗号通貨クリッパー マルウェアの別のクラスターは、Android の正規の機械学習プラグインである ML Kit を使用して、シード フレーズを見つけて盗み、ウォレットを空にする可能性があります。
マルウェアの 3 つ目のクラスターは、仮想通貨に関連する特定の中国語のキーワードに関連する Telegram の会話を監視することを目的としています。 関連するメッセージが見つかった場合、メッセージ全体、ユーザー名、グループまたはチャネル名、およびその他のデータがリモート サーバーに漏えいします。
最後に、Android クリッパー セットには、ウォレット アドレスの切り替え、デバイス情報の収集、メッセージや連絡先などのテレグラム データなど、より多くの機能があります。
これらの悪意のある APK ソフトウェア パッケージの名前は次のとおりです。
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.メッセンジャー
io.busniess.va.whatsapp
com.whatsapp
ESET は、2 つの Windows ベースのクラスターも発見しました。1 つはウォレット アドレスの交換用に設計され、もう 1 つはリモート アクセスの分散用に設計されています。