Di recente, i siti Web che imitano applicazioni di messaggistica istantanea come Telegram e WhatsApp sono stati utilizzati per distribuire malware che infettano i sistemi Android e Windows. Questo malware è noto come malware clipper di criptovaluta, che mira a rubare i fondi di criptovaluta delle vittime, con alcuni mirati specificamente ai portafogli di criptovaluta.
I ricercatori Lukáš Štefanko e Peter Strýček della società slovacca di sicurezza informatica ESET hanno dichiarato nel loro ultimo rapporto di analisi:
Tutte queste applicazioni dannose prendono di mira i fondi di criptovaluta delle vittime, con alcune che prendono di mira i portafogli di criptovaluta
.
Sebbene la prima istanza di malware Clipper di criptovaluta su Google Play Store possa essere fatta risalire al 2019, questo sviluppo segna la prima volta che il malware Clipper di criptovaluta basato su Android è stato integrato nelle applicazioni di messaggistica istantanea.
Inoltre, alcune di queste applicazioni utilizzano anche la tecnologia di riconoscimento ottico dei caratteri (OCR) per identificare il testo dagli screenshot memorizzati sui dispositivi infetti, che è anche una novità nel malware Android.
La catena di attacco inizia con un clic involontario su annunci fraudolenti nei risultati di ricerca di Google, portando a centinaia di canali YouTube sospetti, reindirizzando infine gli utenti a siti Web simili a Telegram e WhatsApp.
Ciò che rende nuovo questo nuovo lotto di malware criptovaluta clipper è la sua capacità di intercettare i registri delle chat delle vittime e sostituire qualsiasi indirizzo di portafoglio di criptovaluta inviato o ricevuto con quelli controllati dagli attori delle minacce.
Un altro cluster di malware clipper di criptovaluta utilizza ML Kit, un plug-in di apprendimento automatico legittimo su Android, per trovare e rubare frasi seme, con il potenziale risultato di svuotare i portafogli.
Un terzo cluster di malware mira a monitorare le conversazioni di Telegram relative a determinate parole chiave cinesi relative alla criptovaluta. Se vengono trovati messaggi pertinenti, perde l'intero messaggio, nome utente, nome del gruppo o del canale e altri dati sui server remoti.
Infine, un set di clipper Android ha più funzionalità, tra cui il cambio di indirizzi di portafogli, la raccolta di informazioni sul dispositivo e dati di Telegram come messaggi e contatti.
Di seguito sono riportati i nomi di questi pacchetti software APK dannosi:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET ha anche scoperto due cluster basati su Windows, uno progettato per lo scambio di indirizzi di portafogli e l'altro per la distribuzione dell'accesso remoto.
