For nylig er websteder, der efterligner instant messaging-applikationer som Telegram og WhatsApp, blevet brugt til at distribuere malware, der inficerer Android- og Windows-systemer. Denne malware er kendt som cryptocurrency clipper malware, som har til formål at stjæle ofrenes cryptocurrency-midler, med nogle specifikt rettet mod cryptocurrency-punge.
Forskerne Lukáš Štefanko og Peter Strýček fra det slovakiske cybersikkerhedsfirma ESET udtalte i deres seneste analyserapport:
Alle disse ondsindede applikationer er rettet mod ofrenes kryptovalutamidler, med nogle rettet mod kryptovaluta-punge.
Selvom den første forekomst af cryptocurrency clipper malware i Google Play Butik kan spores tilbage til 2019, er denne udvikling første gang, Android-baseret cryptocurrency clipper malware er blevet indbygget i instant messaging applikationer.
Desuden bruger nogle af disse applikationer også optisk tegngenkendelse (OCR) teknologi til at identificere tekst fra skærmbilleder gemt på inficerede enheder, hvilket også er det første i Android malware.
Angrebskæden begynder med utilsigtet at klikke på svigagtige annoncer i Googles søgeresultater, hvilket fører til hundredvis af mistænkelige YouTube-kanaler, og til sidst omdirigerer brugere til websteder, der ligner Telegram og WhatsApp.
Det, der gør denne seneste serie af cryptocurrency clipper malware til roman, er dens evne til at opsnappe ofrenes chatlogs og erstatte alle sendte eller modtagne cryptocurrency wallet-adresser med dem, der kontrolleres af trusselsaktører.
En anden klynge af cryptocurrency clipper malware bruger ML Kit, et legitimt maskinlæringsplugin på Android, til at finde og stjæle frøsætninger, hvilket potentielt kan resultere i tømning af tegnebøger.
En tredje klynge af malware sigter mod at overvåge Telegram-samtaler relateret til visse kinesiske søgeord relateret til cryptocurrency. Hvis der findes relevante beskeder, lækker den hele beskeden, brugernavnet, gruppens eller kanalnavnet og andre data til fjernservere.
Endelig har et Android-klippersæt flere funktioner, herunder skift af tegnebogsadresser, indsamling af enhedsoplysninger og telegramdata såsom beskeder og kontakter.
Følgende er navnene på disse ondsindede APK-softwarepakker:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET opdagede også to Windows-baserede klynger, den ene designet til at bytte tegnebogsadresser og den anden til at distribuere fjernadgang.
