Nyligen har webbplatser som efterliknar snabbmeddelandeapplikationer som Telegram och WhatsApp använts för att distribuera skadlig programvara som infekterar Android- och Windows-system. Denna skadliga programvara är känd som cryptocurrency clipper malware, som syftar till att stjäla offrens cryptocurrency-medel, med några specifikt inriktade på cryptocurrency-plånböcker.
Forskarna Lukáš Štefanko och Peter Strýček från det slovakiska cybersäkerhetsföretaget ESET uttalade i sin senaste analysrapport,
Alla dessa skadliga applikationer riktar sig mot offrens kryptovalutafonder, med några inriktade på kryptovalutaplånböcker.
Även om den första instansen av cryptocurrency clipper malware på Google Play Store kan spåras tillbaka till 2019, är denna utveckling första gången Android-baserad cryptocurrency clipper malware har byggts in i snabbmeddelandeapplikationer.
Dessutom använder vissa av dessa applikationer också optisk teckenigenkänning (OCR)-teknik för att identifiera text från skärmdumpar som lagras på infekterade enheter, vilket också är en första i Android-skadlig programvara.
Attackkedjan börjar med att oavsiktligt klickar på bedrägliga annonser i Googles sökresultat, vilket leder till hundratals misstänkta YouTube-kanaler, som så småningom omdirigerar användare till webbplatser som liknar Telegram och WhatsApp.
Det som gör denna senaste sats av cryptocurrency clipper malware till romanen är dess förmåga att fånga upp offrens chattloggar och ersätta alla skickade eller mottagna cryptocurrency plånboksadresser med de som kontrolleras av hotaktörer.
Ett annat kluster av skadlig kod för cryptocurrency clipper använder ML Kit, en legitim maskininlärningsplugin på Android, för att hitta och stjäla seed-fraser, vilket kan leda till att plånböcker töms.
Ett tredje kluster av skadlig programvara syftar till att övervaka Telegram-konversationer relaterade till vissa kinesiska nyckelord relaterade till kryptovaluta. Om några relevanta meddelanden hittas läcker det hela meddelandet, användarnamn, grupp- eller kanalnamn och annan data till fjärrservrar.
Slutligen har en Android-klippare fler funktioner, inklusive att byta plånboksadresser, samla in enhetsinformation och telegramdata som meddelanden och kontakter.
Följande är namnen på dessa skadliga APK-programvarupaket:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET upptäckte också två Windows-baserade kluster, ett utformat för att byta plånboksadresser och det andra för att distribuera fjärråtkomst.
