เมื่อเร็ว ๆ นี้ เว็บไซต์ที่เลียนแบบแอปพลิเคชันการส่งข้อความโต้ตอบแบบทันที เช่น Telegram และ WhatsApp ถูกนำมาใช้เพื่อเผยแพร่มัลแวร์ที่แพร่ระบาดในระบบ Android และ Windows มัลแวร์นี้เรียกว่ามัลแวร์ cryptocurrency clipper ซึ่งมีเป้าหมายเพื่อขโมยเงิน cryptocurrency ของเหยื่อ โดยบางตัวมีเป้าหมายเจาะจงไปที่กระเป๋าเงิน cryptocurrencyนักวิจัย Lukáš Štefanko และ Peter Strýček จาก ESET บริษัทรักษาความปลอดภัยทางไซเบอร์ของสโลวาเกียระบุในรายงานการวิเคราะห์ล่าสุดของพวกเขาว่า แอปพลิเคชันที่เป็นอันตรายทั้งหมดเหล่านี้มุ่งเป้าไปที่กองทุนเงินดิจิทัลของเหยื่อ โดยบางส่วนมุ่งเป้าไปที่กระเป๋าเงินดิจิทัลแม้ว่าตัวอย่างแรกของมัลแวร์ cryptocurrency clipper บน Google Play Store สามารถสืบย้อนไปถึงปี 2019 ได้ แต่การพัฒนานี้นับเป็นครั้งแรกที่มัลแวร์ cryptocurrency clipper บน Android ถูกสร้างขึ้นในแอปพลิเคชันการส่งข้อความโต้ตอบแบบทันทียิ่งไปกว่านั้น แอปพลิเคชันเหล่านี้บางตัวยังใช้เทคโนโลยีการรู้จำอักขระด้วยแสง (OCR) เพื่อระบุข้อความจากภาพหน้าจอที่จัดเก็บไว้ในอุปกรณ์ที่ติดไวรัส ซึ่งเป็นครั้งแรกในมัลแวร์ Androidห่วงโซ่การโจมตีเริ่มต้นด้วยการคลิกที่โฆษณาหลอกลวงบนผลการค้นหาของ Google โดยไม่ได้ตั้งใจ นำไปสู่ช่อง YouTube ที่น่าสงสัยหลายร้อยช่อง และท้ายที่สุดเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่คล้ายกับ Telegram และ WhatsAppสิ่งที่ทำให้มัลแวร์ cryptocurrency clipper ชุดล่าสุดนี้คือความสามารถในการสกัดกั้นบันทึกการแชทของเหยื่อและแทนที่ที่อยู่กระเป๋าเงิน cryptocurrency ที่ส่งหรือรับด้วยที่อยู่ควบคุมโดยผู้คุกคามมัลแวร์ Clipper คริปโตเคอเรนซีอีกกลุ่มหนึ่งใช้ ML Kit ซึ่งเป็นปลั๊กอินการเรียนรู้ของเครื่องที่ถูกกฎหมายบน Android เพื่อค้นหาและขโมยวลีเริ่มต้น ซึ่งอาจส่งผลให้กระเป๋าเงินว่างเปล่ามัลแวร์กลุ่มที่สามมุ่งตรวจสอบการสนทนาทางโทรเลขที่เกี่ยวข้องกับคีย์เวิร์ดภาษาจีนบางคำที่เกี่ยวข้องกับสกุลเงินดิจิทัล หากพบข้อความที่เกี่ยวข้อง ข้อความทั้งหมดจะรั่วไหลทั้งข้อความ ชื่อผู้ใช้ ชื่อกลุ่มหรือช่อง และข้อมูลอื่นๆ ไปยังเซิร์ฟเวอร์ระยะไกลสุดท้ายนี้ ชุดอุปกรณ์ตัดขนของ Android มีฟังก์ชันการทำงานที่มากกว่า รวมถึงการสลับที่อยู่กระเป๋าเงิน การรวบรวมข้อมูลอุปกรณ์ และข้อมูลโทรเลข เช่น ข้อความและรายชื่อผู้ติดต่อต่อไปนี้คือชื่อของแพ็คเกจซอฟต์แวร์ APK ที่เป็นอันตรายเหล่านี้:org.telegram.messengerorg.telegram.messenger.web2org.tgplus.messengerio.busniess.va.Whatsappcom.WhatsappESET ยังค้นพบคลัสเตอร์ที่ใช้ Windows สองกลุ่ม โดยกลุ่มหนึ่งออกแบบมาสำหรับการแลกเปลี่ยนที่อยู่กระเป๋าเงิน และอีกกลุ่มหนึ่งกระจายการเข้าถึงระยะไกล