Recentment, s'han utilitzat llocs web que imiten aplicacions de missatgeria instantània com Telegram i WhatsApp per distribuir programari maliciós que infecta els sistemes Android i Windows. Aquest programari maliciós es coneix com a programari maliciós tallador de criptomoneda, que té com a objectiu robar els fons de criptomoneda de les víctimes, amb alguns dirigits específicament a carteres de criptomoneda.
Els investigadors Lukáš Štefanko i Peter Strýček de l'empresa de ciberseguretat eslovaca ESET van declarar en el seu darrer informe d'anàlisi:
Totes aquestes aplicacions malicioses s'apunten als fons de criptomoneda de les víctimes, amb algunes carteres de criptomoneda
.
Tot i que la primera instància de programari maliciós de tall de criptomoneda a Google Play Store es remunta al 2019, aquest desenvolupament suposa la primera vegada que el programari maliciós de tall de criptomoneda basat en Android s'incorpora a les aplicacions de missatgeria instantània.
A més, algunes d'aquestes aplicacions també utilitzen la tecnologia de reconeixement òptic de caràcters (OCR) per identificar el text de les captures de pantalla emmagatzemades en dispositius infectats, que també és la primera vegada en programari maliciós d'Android.
La cadena d'atac comença fent clic involuntàriament a anuncis fraudulents als resultats de la cerca de Google, donant lloc a centenars de canals sospitosos de YouTube i, finalment, redirigint els usuaris a llocs web similars a Telegram i WhatsApp.
El que fa que aquest darrer lot de programari maliciós de tallador de criptomoneda sigui una novel·la és la seva capacitat per interceptar els registres de xat de les víctimes i substituir qualsevol adreça de cartera de criptomoneda enviada o rebuda per les controlades per actors d'amenaça.
Un altre grup de programari maliciós de tallador de criptomoneda utilitza ML Kit, un connector d'aprenentatge automàtic legítim d'Android, per trobar i robar frases inicials, cosa que podria provocar el buidatge de carteres.
Un tercer clúster de programari maliciós té com a objectiu controlar les converses de Telegram relacionades amb determinades paraules clau xineses relacionades amb la criptomoneda. Si es troba algun missatge rellevant, filtra tot el missatge, el nom d'usuari, el nom del grup o del canal i altres dades als servidors remots.
Finalment, un conjunt de clippers d'Android té més funcionalitats, com ara canviar d'adreces de cartera, recopilar informació del dispositiu i dades de Telegram, com ara missatges i contactes.
A continuació es mostren els noms d'aquests paquets de programari APK maliciosos:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET també va descobrir dos clústers basats en Windows, un dissenyat per intercanviar adreces de cartera i l'altre per distribuir accés remot.
