V poslední době se k distribuci malwaru, který infikuje systémy Android a Windows, používají webové stránky napodobující aplikace pro rychlé zasílání zpráv, jako je Telegram a WhatsApp. Tento malware je známý jako malware pro klipování kryptoměn, jehož cílem je ukrást kryptoměnové prostředky obětí, přičemž některé se specificky zaměřují na kryptoměnové peněženky.
Výzkumníci Lukáš Štefanko a Peter Strýček ze slovenské společnosti ESET zabývající se kybernetickou bezpečností ve své nejnovější zprávě o analýze uvedli:
Všechny tyto škodlivé aplikace cílí na kryptoměnové fondy obětí, přičemž některé se zaměřují na kryptoměnové peněženky.
Ačkoli první výskyt malwaru pro klipování kryptoměn v obchodě Google Play lze vysledovat až do roku 2019, tento vývoj je prvním případem, kdy byl malware pro klipování kryptoměn založený na Androidu zabudován do aplikací pro rychlé zasílání zpráv.
Některé z těchto aplikací navíc také používají technologii optického rozpoznávání znaků (OCR) k identifikaci textu ze snímků obrazovky uložených na infikovaných zařízeních, což je také poprvé v malwaru pro Android.
Útokový řetězec začíná neúmyslným kliknutím na podvodné reklamy ve výsledcích vyhledávání Google, což vede ke stovkám podezřelých kanálů YouTube a nakonec přesměruje uživatele na webové stránky podobné Telegramu a WhatsApp.
To, co dělá tuto nejnovější várku malwaru pro stříhání kryptoměn novinkou, je její schopnost zachytit chatové protokoly obětí a nahradit všechny odeslané nebo přijaté adresy kryptoměnových peněženek adresami kontrolovanými aktéry hrozeb.
Další shluk malwaru pro stříhání kryptoměn používá ML Kit, legitimní plugin pro strojové učení pro Android, k nalezení a krádeži počátečních frází, což může mít za následek vyprázdnění peněženek.
Třetí skupina malwaru má za cíl monitorovat telegramové konverzace týkající se určitých čínských klíčových slov souvisejících s kryptoměnou. Pokud jsou nalezeny nějaké relevantní zprávy, unikne celá zpráva, uživatelské jméno, název skupiny nebo kanálu a další data na vzdálené servery.
A konečně, sada klipů pro Android má více funkcí, včetně přepínání adres peněženky, shromažďování informací o zařízení a telegramových dat, jako jsou zprávy a kontakty.
Názvy těchto škodlivých softwarových balíčků APK jsou následující:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET také objevil dva clustery založené na Windows, jeden určený pro výměnu adres peněženek a druhý pro distribuci vzdáleného přístupu.
