اخیراً وبسایتهایی که از برنامههای پیامرسانی فوری مانند تلگرام و واتساپ تقلید میکنند، برای توزیع بدافزارهایی که سیستمهای اندروید و ویندوز را آلوده میکنند، استفاده شدهاند. این بدافزار به عنوان بدافزار کلیپر رمزارز شناخته می شود که هدف آن سرقت وجوه ارزهای دیجیتال قربانیان است و برخی از آنها به طور خاص کیف پول های رمزنگاری را هدف قرار می دهند.محققان Lukáš Štefanko و Peter Strýček از شرکت امنیت سایبری اسلواکی ESET در آخرین گزارش تحلیلی خود اظهار داشتند: همه این برنامه های مخرب وجوه ارزهای دیجیتال قربانیان را هدف قرار می دهند و برخی از آنها کیف پول های رمزنگاری شده را هدف قرار می دهند.اگرچه اولین نمونه بدافزار کلیپر ارزهای دیجیتال در فروشگاه Google Play را می توان به سال 2019 ردیابی کرد، اما این توسعه اولین بار است که بدافزار کلیپر ارز دیجیتال مبتنی بر اندروید در برنامه های پیام رسانی فوری ساخته شده است.علاوه بر این، برخی از این برنامهها همچنین از فناوری تشخیص کاراکتر نوری (OCR) برای شناسایی متن از اسکرینشاتهای ذخیره شده در دستگاههای آلوده استفاده میکنند که این اولین مورد در بدافزار اندروید است.زنجیره حمله با کلیک ناخواسته بر روی تبلیغات جعلی در نتایج جستجوی گوگل آغاز می شود که منجر به صدها کانال مشکوک یوتیوب می شود و در نهایت کاربران را به وب سایت هایی مشابه تلگرام و واتس اپ هدایت می کند.چیزی که این جدیدترین مجموعه بدافزار برش دهنده ارزهای دیجیتال را ایجاد می کند، توانایی آن در رهگیری گزارش های چت قربانیان و جایگزینی آدرس های کیف پول ارزهای دیجیتال ارسالی یا دریافتی با آدرس هایی است که توسط عوامل تهدید کنترل می شوند.خوشه دیگری از بدافزارهای برش دهنده ارزهای دیجیتال از ML Kit، یک افزونه یادگیری ماشینی قانونی در اندروید، برای یافتن و سرقت عبارات اولیه استفاده می کند که به طور بالقوه منجر به خالی شدن کیف پول می شود.سومین دسته از بدافزارها با هدف نظارت بر مکالمات تلگرام مرتبط با برخی کلمات کلیدی چینی مرتبط با ارزهای دیجیتال است. اگر هر پیام مرتبطی پیدا شود، کل پیام، نام کاربری، نام گروه یا کانال و سایر دادهها را به سرورهای راه دور افشا میکند.در نهایت، مجموعه کلیپر اندروید دارای عملکردهای بیشتری است، از جمله تغییر آدرس کیف پول، جمع آوری اطلاعات دستگاه و داده های تلگرام مانند پیام ها و مخاطبین.در زیر نام این بسته های نرم افزاری مخرب APK آمده است:org.telegram.messengerorg.telegram.messenger.web2org.tgplus.messengerio.busniess.va.whatsappcom.whatsappESET همچنین دو خوشه مبتنی بر ویندوز را کشف کرد، یکی برای تعویض آدرس کیف پول و دیگری برای توزیع دسترسی از راه دور طراحی شده است.
