Recentemente, sites que imitam aplicativos de mensagens instantâneas, como Telegram e WhatsApp, foram usados para distribuir malware que infecta os sistemas Android e Windows. Esse malware é conhecido como malware clipper de criptomoedas, que visa roubar fundos de criptomoedas das vítimas, com alguns visando especificamente carteiras de criptomoedas.
Os pesquisadores Lukáš Štefanko e Peter Strýček, da empresa eslovaca de segurança cibernética ESET, declararam em seu último relatório de análise:
Todos esses aplicativos maliciosos visam os fundos de criptomoeda das vítimas, com alguns direcionados a carteiras de criptomoeda
.
Embora a primeira instância de malware clipper de criptomoeda na Google Play Store possa ser rastreada até 2019, esse desenvolvimento marca a primeira vez que o malware clipper de criptomoeda baseado em Android foi incorporado a aplicativos de mensagens instantâneas.
Além disso, alguns desses aplicativos também usam a tecnologia de reconhecimento óptico de caracteres (OCR) para identificar texto de capturas de tela armazenadas em dispositivos infectados, o que também é uma novidade no malware para Android.
A cadeia de ataque começa com cliques involuntários em anúncios fraudulentos nos resultados de pesquisa do Google, levando a centenas de canais suspeitos do YouTube, eventualmente redirecionando os usuários para sites semelhantes ao Telegram e WhatsApp.
O que torna esse último lote de malware clipper de criptomoeda inovador é sua capacidade de interceptar os logs de bate-papo das vítimas e substituir qualquer endereço de carteira de criptomoeda enviado ou recebido por aqueles controlados por agentes de ameaças.
Outro cluster de malware clipper de criptomoeda usa o ML Kit, um plug-in de aprendizado de máquina legítimo no Android, para encontrar e roubar frases-semente, resultando potencialmente no esvaziamento de carteiras.
Um terceiro cluster de malware visa monitorar as conversas do Telegram relacionadas a certas palavras-chave chinesas relacionadas à criptomoeda. Se alguma mensagem relevante for encontrada, ele vaza toda a mensagem, nome de usuário, nome de grupo ou canal e outros dados para servidores remotos.
Por fim, um conjunto de clipper Android tem mais funcionalidades, incluindo troca de endereços de carteira, coleta de informações do dispositivo e dados do Telegram, como mensagens e contatos.
A seguir estão os nomes desses pacotes de software APK maliciosos:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
A ESET também descobriu dois clusters baseados no Windows, um projetado para trocar endereços de carteira e o outro para distribuir acesso remoto.