Nedavno su se web-mjesta koja oponašaju aplikacije za razmjenu trenutnih poruka, kao što su Telegram i WhatsApp, koristila za distribuciju zlonamjernog softvera koji inficira Android i Windows sustave. Ovaj zlonamjerni softver poznat je kao zlonamjerni softver za kliper kriptovalute, čiji je cilj ukrasti sredstva u kriptovaluti žrtava, a neki posebno ciljaju novčanike za kriptovalute.
Istraživači Lukáš Štefanko i Peter Strýček iz slovačke tvrtke za kibernetičku sigurnost ESET izjavili su u svom najnovijem izvješću o analizi:
Sve ove zlonamjerne aplikacije ciljaju sredstva u kriptovalutama žrtava, a neke ciljaju novčanike za kriptovalute.
Iako se prva instanca zlonamjernog softvera za kliper kriptovalute u Google Play Storeu može pratiti unazad do 2019. godine, ovaj razvoj označava prvi put da je zlonamjerni softver za kliper kriptovalute temeljen na Androidu ugrađen u aplikacije za izravnu razmjenu poruka.
Štoviše, neke od tih aplikacija također koriste tehnologiju optičkog prepoznavanja znakova (OCR) za prepoznavanje teksta sa snimki zaslona pohranjenih na zaraženim uređajima, što je također prvi put u zlonamjernom softveru za Android.
Lanac napada počinje nenamjernim klikanjem na lažne oglase u rezultatima Google pretraživanja, što dovodi do stotina sumnjivih YouTube kanala, na kraju preusmjeravajući korisnike na web stranice slične Telegramu i WhatsAppu.
Ono što ovu posljednju seriju zlonamjernog programa za kliper kriptovalute čini novinom je njegova sposobnost presretanja logova chata žrtava i zamjene bilo koje poslane ili primljene adrese novčanika kriptovalute onima koje kontroliraju prijetnje.
Drugi klaster zlonamjernog softvera za kliper kriptovalute koristi ML Kit, legitimni dodatak za strojno učenje na Androidu, za pronalaženje i krađu početnih fraza, što potencijalno može rezultirati pražnjenjem novčanika.
Treći klaster zlonamjernog softvera ima za cilj nadzirati razgovore u Telegramu koji se odnose na određene kineske ključne riječi povezane s kriptovalutom. Ako se pronađe bilo koja relevantna poruka, cijela poruka, korisničko ime, naziv grupe ili kanala i drugi podaci propuštaju se na udaljene poslužitelje.
Na kraju, Android set za šišanje ima više funkcionalnosti, uključujući promjenu adresa novčanika, prikupljanje informacija o uređaju i podataka Telegrama kao što su poruke i kontakti.
Sljedeći su nazivi ovih zlonamjernih APK softverskih paketa:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET je također otkrio dva klastera temeljena na sustavu Windows, jedan dizajniran za razmjenu adresa novčanika, a drugi za distribuciju udaljenog pristupa.
