Recent, site-uri web care imită aplicații de mesagerie instantanee, cum ar fi Telegram și WhatsApp, au fost folosite pentru a distribui programe malware care infectează sistemele Android și Windows. Acest program malware este cunoscut sub denumirea de malware de tăiere a criptomonedei, care urmărește să fure fondurile de criptomonede ale victimelor, unele vizând în mod special portofelele criptomonede.
Cercetătorii Lukáš Štefanko și Peter Strýček de la compania slovacă de securitate cibernetică ESET au declarat în cel mai recent raport de analiză: „Toate aceste aplicații rău intenționate vizează fondurile criptomonede ale victimelor, iar unele vizează portofelele criptomonede”.
Deși prima instanță a programelor malware de tăiere a criptomonedei din Magazinul Google Play poate fi urmărită din 2019, această dezvoltare marchează prima dată când programul malware de tăiere a criptomonedelor bazat pe Android a fost integrat în aplicațiile de mesagerie instantanee.
Mai mult, unele dintre aceste aplicații folosesc și tehnologia de recunoaștere optică a caracterelor (OCR) pentru a identifica textul din capturile de ecran stocate pe dispozitivele infectate, ceea ce este și o premieră în malware Android.
Lanțul de atac începe cu clicuri neintenționate pe anunțurile frauduloase din rezultatele căutării Google, ceea ce duce la sute de canale YouTube suspecte, redirecționând în cele din urmă utilizatorii către site-uri web similare Telegram și WhatsApp.
Ceea ce face ca acest ultim lot de programe malware de tăiere a criptomonedei să fie roman este capacitatea sa de a intercepta jurnalele de chat ale victimelor și de a înlocui orice adrese de portofel de criptomonede trimise sau primite cu cele controlate de actori amenințări.
Un alt grup de programe malware de tăiere a criptomonedei utilizează ML Kit, un plugin legitim de învățare automată pe Android, pentru a găsi și a fura fraze de bază, ceea ce poate duce la golirea portofelelor.
Un al treilea grup de programe malware urmărește să monitorizeze conversațiile Telegram legate de anumite cuvinte cheie chinezești legate de criptomoneda. Dacă sunt găsite mesaje relevante, acesta transmite întregul mesaj, numele de utilizator, numele grupului sau canalului și alte date către serverele de la distanță.
În cele din urmă, un set de tuns Android are mai multe funcționalități, inclusiv schimbarea adreselor portofelului, colectarea de informații despre dispozitiv și date Telegram, cum ar fi mesajele și contactele.
Următoarele sunt numele acestor pachete software APK rău intenționate:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET a descoperit, de asemenea, două clustere bazate pe Windows, unul conceput pentru a schimba adresele portofelului, iar celălalt pentru a distribui accesul de la distanță.
