Onlangs zijn websites die instant messaging-applicaties zoals Telegram en WhatsApp nabootsen, gebruikt om malware te verspreiden die Android- en Windows-systemen infecteert. Deze malware staat bekend als cryptocurrency clipper-malware, die tot doel heeft de cryptocurrency-fondsen van slachtoffers te stelen, waarvan sommige specifiek gericht zijn op cryptocurrency-portemonnees.
Onderzoekers Lukáš Štefanko en Peter Strýček van het Slowaakse cyberbeveiligingsbedrijf ESET verklaarden in hun laatste analyserapport:
Al deze kwaadaardige toepassingen zijn gericht op de cryptocurrency-fondsen van slachtoffers, en sommige op cryptocurrency-portemonnees.
Hoewel de eerste instantie van cryptocurrency clipper-malware in de Google Play Store teruggaat tot 2019, is deze ontwikkeling de eerste keer dat op Android gebaseerde cryptocurrency clipper-malware is ingebouwd in instant messaging-applicaties.
Bovendien maken sommige van deze applicaties ook gebruik van optische tekenherkenningstechnologie (OCR) om tekst te identificeren van schermafbeeldingen die zijn opgeslagen op geïnfecteerde apparaten, wat ook een primeur is in Android-malware.
De aanvalsketen begint met het onbedoeld klikken op frauduleuze advertenties in de zoekresultaten van Google, wat leidt tot honderden verdachte YouTube-kanalen en gebruikers uiteindelijk doorverwijst naar websites die vergelijkbaar zijn met Telegram en WhatsApp.
Wat deze nieuwste batch cryptocurrency clipper-malware nieuw maakt, is de mogelijkheid om de chatlogboeken van slachtoffers te onderscheppen en alle verzonden of ontvangen cryptocurrency-portemonnee-adressen te vervangen door adressen die worden beheerd door bedreigingsactoren.
Een andere cluster van cryptocurrency clipper-malware gebruikt ML Kit, een legitieme plug-in voor machine learning op Android, om seed-zinnen te vinden en te stelen, wat mogelijk resulteert in het legen van portefeuilles.
Een derde cluster van malware is bedoeld om Telegram-gesprekken te volgen die verband houden met bepaalde Chinese trefwoorden die verband houden met cryptocurrency. Als er relevante berichten worden gevonden, lekt het het volledige bericht, de gebruikersnaam, de groeps- of kanaalnaam en andere gegevens naar externe servers.
Ten slotte heeft een Android-clipper-set meer functionaliteiten, waaronder het wisselen van portemonnee-adressen, het verzamelen van apparaatinformatie en Telegram-gegevens zoals berichten en contacten.
Hieronder volgen de namen van deze kwaadaardige APK-softwarepakketten:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET ontdekte ook twee op Windows gebaseerde clusters, één ontworpen voor het uitwisselen van portemonnee-adressen en de andere voor het distribueren van externe toegang.
