Baru-baru ini, situs web yang meniru aplikasi perpesanan instan seperti Telegram dan WhatsApp telah digunakan untuk mendistribusikan malware yang menginfeksi sistem Android dan Windows. Malware ini dikenal sebagai malware clipper cryptocurrency, yang bertujuan untuk mencuri dana cryptocurrency korban, dengan beberapa secara khusus menargetkan dompet cryptocurrency.
Peneliti Lukáš Štefanko dan Peter Strýček dari perusahaan keamanan siber Slovakia ESET menyatakan dalam laporan analisis terbaru mereka,
Semua aplikasi jahat ini menargetkan dana mata uang kripto korban, dengan beberapa menargetkan dompet mata uang kripto.
Meskipun contoh pertama malware clipper cryptocurrency di Google Play Store dapat ditelusuri kembali ke tahun 2019, perkembangan ini menandai pertama kalinya malware clipper cryptocurrency berbasis Android dibangun ke dalam aplikasi pesan instan.
Selain itu, beberapa aplikasi ini juga menggunakan teknologi optical character recognition (OCR) untuk mengidentifikasi teks dari tangkapan layar yang disimpan di perangkat yang terinfeksi, yang juga merupakan malware Android pertama.
Rantai serangan dimulai dengan secara tidak sengaja mengklik iklan penipuan di hasil pencarian Google, yang mengarah ke ratusan saluran YouTube yang mencurigakan, yang akhirnya mengarahkan pengguna ke situs web yang mirip dengan Telegram dan WhatsApp.
Apa yang membuat novel malware clipper cryptocurrency batch terbaru ini adalah kemampuannya untuk mencegat log obrolan korban dan mengganti alamat dompet cryptocurrency yang dikirim atau diterima dengan yang dikendalikan oleh aktor ancaman.
Kluster malware clipper cryptocurrency lainnya menggunakan ML Kit, plugin pembelajaran mesin yang sah di Android, untuk menemukan dan mencuri frase awal, yang berpotensi mengakibatkan dompet kosong.
Kelompok malware ketiga bertujuan untuk memantau percakapan Telegram yang terkait dengan kata kunci China tertentu yang terkait dengan cryptocurrency. Jika ada pesan yang relevan ditemukan, itu membocorkan seluruh pesan, nama pengguna, nama grup atau saluran, dan data lainnya ke server jarak jauh.
Terakhir, set clipper Android memiliki lebih banyak fungsi, termasuk mengganti alamat dompet, mengumpulkan informasi perangkat, dan data Telegram seperti pesan dan kontak.
Berikut ini adalah nama paket perangkat lunak APK berbahaya tersebut:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET juga menemukan dua cluster berbasis Windows, satu dirancang untuk menukar alamat dompet dan yang lainnya mendistribusikan akses jarak jauh.
