Πρόσφατα, ιστότοποι που μιμούνται εφαρμογές ανταλλαγής άμεσων μηνυμάτων όπως το Telegram και το WhatsApp έχουν χρησιμοποιηθεί για τη διανομή κακόβουλου λογισμικού που μολύνει τα συστήματα Android και Windows. Αυτό το κακόβουλο λογισμικό είναι γνωστό ως κακόβουλο λογισμικό αποκοπής κρυπτονομισμάτων, το οποίο στοχεύει στην κλοπή κεφαλαίων κρυπτονομισμάτων των θυμάτων, με ορισμένα να στοχεύουν συγκεκριμένα πορτοφόλια κρυπτονομισμάτων.
Οι ερευνητές Lukáš Štefanko και Peter Strýček από τη σλοβακική εταιρεία κυβερνοασφάλειας ESET δήλωσαν στην τελευταία τους έκθεση ανάλυσης, «Όλες αυτές οι κακόβουλες εφαρμογές στοχεύουν τα κεφάλαια κρυπτονομισμάτων των θυμάτων, ενώ ορισμένες στοχεύουν πορτοφόλια κρυπτονομισμάτων».
Αν και η πρώτη εμφάνιση κακόβουλου λογισμικού αποκοπής κρυπτονομισμάτων στο Google Play Store μπορεί να εντοπιστεί από το 2019, αυτή η εξέλιξη σηματοδοτεί την πρώτη φορά που το κακόβουλο λογισμικό περικοπής κρυπτονομισμάτων που βασίζεται σε Android ενσωματώνεται σε εφαρμογές άμεσων μηνυμάτων.
Επιπλέον, ορισμένες από αυτές τις εφαρμογές χρησιμοποιούν επίσης τεχνολογία οπτικής αναγνώρισης χαρακτήρων (OCR) για την αναγνώριση κειμένου από στιγμιότυπα οθόνης που είναι αποθηκευμένα σε μολυσμένες συσκευές, η οποία είναι επίσης πρώτη στο κακόβουλο λογισμικό Android.
Η αλυσίδα επιθέσεων ξεκινά με ακούσιο κλικ σε δόλιες διαφημίσεις στα αποτελέσματα αναζήτησης Google, οδηγώντας σε εκατοντάδες ύποπτα κανάλια YouTube, ανακατευθύνοντας τελικά τους χρήστες σε ιστότοπους παρόμοιους με το Telegram και το WhatsApp.
Αυτό που κάνει αυτή την τελευταία παρτίδα μυθιστορήματος κακόβουλου λογισμικού αποκοπής κρυπτονομισμάτων είναι η ικανότητά του να παρεμποδίζει τα αρχεία καταγραφής συνομιλιών των θυμάτων και να αντικαθιστά τυχόν απεσταλμένες ή ληφθείσες διευθύνσεις πορτοφολιού κρυπτονομισμάτων με αυτές που ελέγχονται από παράγοντες απειλών.
Ένα άλλο σύμπλεγμα κακόβουλου λογισμικού αποκοπής κρυπτονομισμάτων χρησιμοποιεί το ML Kit, μια νόμιμη προσθήκη μηχανικής εκμάθησης στο Android, για να βρει και να κλέψει φράσεις σποράς, με αποτέλεσμα ενδεχομένως να αδειάζουν πορτοφόλια.
Ένα τρίτο σύμπλεγμα κακόβουλου λογισμικού στοχεύει στην παρακολούθηση συνομιλιών στο Telegram που σχετίζονται με ορισμένες κινεζικές λέξεις-κλειδιά που σχετίζονται με κρυπτονομίσματα. Εάν εντοπιστούν σχετικά μηνύματα, διαρρέει ολόκληρο το μήνυμα, το όνομα χρήστη, το όνομα ομάδας ή καναλιού και άλλα δεδομένα σε απομακρυσμένους διακομιστές.
Τέλος, ένα σετ κοπής Android έχει περισσότερες λειτουργίες, όπως εναλλαγή διευθύνσεων πορτοφολιού, συλλογή πληροφοριών συσκευής και δεδομένα Telegram, όπως μηνύματα και επαφές.
Τα ακόλουθα είναι τα ονόματα αυτών των κακόβουλων πακέτων λογισμικού APK:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
Η ESET ανακάλυψε επίσης δύο συμπλέγματα που βασίζονται σε Windows, το ένα σχεδιασμένο για εναλλαγή διευθύνσεων πορτοφολιού και το άλλο για διανομή απομακρυσμένης πρόσβασης.
