Az utóbbi időben az azonnali üzenetküldő alkalmazásokat, például a Telegramot és a WhatsApp-ot utánzó webhelyeket Android és Windows rendszereket megfertőző rosszindulatú programok terjesztésére használnak. Ezt a rosszindulatú programot kriptovaluta-vágó kártevőként ismerik, amelynek célja az áldozatok kriptovaluta-alapjainak ellopása, és néhány kifejezetten a kriptovaluta pénztárcákat célozza meg.
Lukáš Štefanko és Peter Strýček, a szlovák ESET kiberbiztonsági vállalat kutatói legfrissebb elemzési jelentésükben kijelentették:
Ezek a rosszindulatú alkalmazások az áldozatok kriptovaluta-alapjait célozzák, néhányan pedig a kriptovaluta pénztárcákat.
Bár a Google Play Áruházban található kriptovaluta-vágó kártevők első példánya 2019-re vezethető vissza, ez a fejlesztés az első alkalom, hogy Android-alapú kriptovaluta-vágó kártevőt beépítettek azonnali üzenetküldő alkalmazásokba.
Ezen túlmenően ezeknek az alkalmazásoknak egy része optikai karakterfelismerő (OCR) technológiát is használ a fertőzött eszközökön tárolt képernyőképek szövegének azonosítására, ami szintén az első az Android rosszindulatú szoftverében.
A támadási lánc azzal kezdődik, hogy a Google keresési eredményei között szándékosan rákattint a csaló hirdetésekre, ami több száz gyanús YouTube-csatornához vezet, végül a felhasználókat a Telegramhoz és a WhatsApphoz hasonló webhelyekre irányítja át.
A kriptovaluta-vágó kártevők legújabb sorozatát az teszi újszerűvé, hogy képes lehallgatni az áldozatok csevegési naplóit, és lecserélni a küldött vagy fogadott kriptovaluta pénztárca címeket a fenyegetés szereplői által irányított címekre.
A kriptovaluta-vágó kártevők egy másik csoportja az ML Kit-et, egy legitim gépi tanulási beépülő modult használja az Androidon, hogy megtalálja és ellopja a magmondatokat, ami potenciálisan kiürítheti a pénztárcákat.
A rosszindulatú programok harmadik csoportja a kriptovalutával kapcsolatos bizonyos kínai kulcsszavakhoz kapcsolódó Telegram-beszélgetések figyelését célozza. Ha bármilyen releváns üzenetet talál, a teljes üzenetet, felhasználónevet, csoport- vagy csatornanevet és egyéb adatokat kiszivárogtatja a távoli szervereknek.
Végül egy Android-vágógép-készlet több funkcióval is rendelkezik, beleértve a pénztárcacímek váltását, az eszközadatok gyűjtését és a távirati adatokat, például az üzeneteket és a névjegyeket.
Ezeknek a rosszindulatú APK-szoftvercsomagoknak a nevei a következők:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
Az ESET két Windows-alapú fürtöt is felfedezett, az egyiket a pénztárcacímek cseréjére tervezték, a másikat pedig a távoli hozzáférés elosztására.