Baru-baru ini, tapak web yang meniru aplikasi pemesejan segera seperti Telegram dan WhatsApp telah digunakan untuk mengedarkan perisian hasad yang menjangkiti sistem Android dan Windows. Malware ini dikenali sebagai malware clipper cryptocurrency, yang bertujuan untuk mencuri dana cryptocurrency mangsa, dengan sesetengahnya menyasarkan dompet cryptocurrency secara khusus.
Penyelidik Lukáš Štefanko dan Peter Strýček dari syarikat keselamatan siber Slovakia ESET menyatakan dalam laporan analisis terbaru mereka,
Semua aplikasi berniat jahat ini menyasarkan dana mata wang kripto mangsa, dengan beberapa menyasarkan dompet mata wang kripto.
Walaupun contoh pertama perisian hasad pemotong mata wang kripto di Gedung Google Play boleh dikesan kembali ke 2019, perkembangan ini menandakan kali pertama perisian hasad pemotong mata wang kripto berasaskan Android telah dibina ke dalam aplikasi pemesejan segera.
Selain itu, beberapa aplikasi ini juga menggunakan teknologi pengecaman aksara optik (OCR) untuk mengenal pasti teks daripada tangkapan skrin yang disimpan pada peranti yang dijangkiti, yang juga merupakan yang pertama dalam perisian hasad Android.
Rantaian serangan bermula dengan mengklik secara tidak sengaja pada iklan penipuan pada hasil carian Google, membawa kepada ratusan saluran YouTube yang mencurigakan, akhirnya mengubah hala pengguna ke tapak web yang serupa dengan Telegram dan WhatsApp.
Apa yang menjadikan kumpulan terbaru novel malware clipper cryptocurrency ini adalah keupayaannya untuk memintas log sembang mangsa dan menggantikan mana-mana alamat dompet mata wang kripto yang dihantar atau diterima dengan alamat yang dikawal oleh pelaku ancaman.
Satu lagi kumpulan perisian hasad pemotong mata wang kripto menggunakan ML Kit, pemalam pembelajaran mesin yang sah pada Android, untuk mencari dan mencuri frasa benih, yang berpotensi mengakibatkan dompet kosong.
Kelompok malware ketiga bertujuan untuk memantau perbualan Telegram yang berkaitan dengan kata kunci Cina tertentu yang berkaitan dengan mata wang kripto. Jika sebarang mesej yang berkaitan ditemui, ia membocorkan keseluruhan mesej, nama pengguna, nama kumpulan atau saluran dan data lain ke pelayan jauh.
Akhir sekali, set gunting Android mempunyai lebih banyak fungsi, termasuk menukar alamat dompet, mengumpul maklumat peranti dan data Telegram seperti mesej dan kenalan.
Berikut ialah nama pakej perisian APK berniat jahat ini:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET juga menemui dua kluster berasaskan Windows, satu direka untuk menukar alamat dompet dan satu lagi mengedarkan akses jauh.