Récemment, des sites Web imitant des applications de messagerie instantanée telles que Telegram et WhatsApp ont été utilisés pour distribuer des logiciels malveillants qui infectent les systèmes Android et Windows. Ce malware est connu sous le nom de malware clipper de crypto-monnaie, qui vise à voler les fonds de crypto-monnaie des victimes, certains ciblant spécifiquement les portefeuilles de crypto-monnaie.
Les chercheurs Lukáš Štefanko et Peter Strýček de la société slovaque de cybersécurité ESET ont déclaré dans leur dernier rapport d'analyse :
Toutes ces applications malveillantes ciblent les fonds de crypto-monnaie des victimes, certaines ciblant les portefeuilles de crypto-monnaie
.
Bien que la première instance de malware de clipper de crypto-monnaie sur Google Play Store remonte à 2019, ce développement marque la première fois qu'un malware de clipper de crypto-monnaie basé sur Android est intégré dans des applications de messagerie instantanée.
De plus, certaines de ces applications utilisent également la technologie de reconnaissance optique de caractères (OCR) pour identifier le texte des captures d'écran stockées sur les appareils infectés, ce qui est également une première dans les logiciels malveillants Android.
La chaîne d'attaque commence par un clic involontaire sur des publicités frauduleuses dans les résultats de recherche Google, conduisant à des centaines de chaînes YouTube suspectes, redirigeant finalement les utilisateurs vers des sites Web similaires à Telegram et WhatsApp.
Ce qui fait de ce dernier lot de logiciels malveillants de clipper de crypto-monnaie un roman est sa capacité à intercepter les journaux de discussion des victimes et à remplacer toutes les adresses de portefeuille de crypto-monnaie envoyées ou reçues par celles contrôlées par les acteurs de la menace.
Un autre groupe de logiciels malveillants de clipper de crypto-monnaie utilise ML Kit, un plug-in d'apprentissage automatique légitime sur Android, pour trouver et voler des phrases de départ, ce qui peut entraîner le vidage des portefeuilles.
Un troisième cluster de logiciels malveillants vise à surveiller les conversations Telegram liées à certains mots-clés chinois liés à la crypto-monnaie. Si des messages pertinents sont trouvés, il divulgue l'intégralité du message, le nom d'utilisateur, le nom du groupe ou du canal et d'autres données vers des serveurs distants.
Enfin, un ensemble de tondeuses Android a plus de fonctionnalités, y compris le changement d'adresse de portefeuille, la collecte d'informations sur l'appareil et les données de télégramme telles que les messages et les contacts.
Voici les noms de ces packages logiciels APK malveillants :
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET a également découvert deux clusters basés sur Windows, l'un conçu pour échanger des adresses de portefeuille et l'autre pour distribuer l'accès à distance.
