Нещодавно веб-сайти, що імітують програми обміну миттєвими повідомленнями, такі як Telegram і WhatsApp, використовувалися для розповсюдження зловмисного програмного забезпечення, яке заражає системи Android і Windows. Це зловмисне програмне забезпечення, відоме як зловмисне програмне забезпечення для кліперів криптовалюти, спрямоване на крадіжку криптовалютних коштів жертв, а деякі з них спеціально націлені на гаманці криптовалюти.
Дослідники Лукаш Штефанко та Петер Стричек зі словацької компанії з кібербезпеки ESET заявили у своєму останньому аналітичному звіті: «Усі ці шкідливі програми спрямовані на криптовалютні кошти жертв, а деякі націлені на криптовалютні гаманці».
Незважаючи на те, що перший випадок зловмисного програмного забезпечення для кліперів криптовалюти в магазині Google Play можна простежити до 2019 року, ця розробка знаменує собою перший випадок, коли зловмисне програмне забезпечення для кліперів для криптовалют на базі Android було вбудовано в програми обміну миттєвими повідомленнями.
Крім того, деякі з цих додатків також використовують технологію оптичного розпізнавання символів (OCR) для ідентифікації тексту зі знімків екрана, які зберігаються на заражених пристроях, що також є першим у зловмисному програмному забезпеченні Android.
Ланцюг атак починається з ненавмисного натискання шахрайських оголошень у результатах пошуку Google, що призводить до сотень підозрілих каналів YouTube, зрештою перенаправляючи користувачів на веб-сайти, схожі на Telegram і WhatsApp.
Що робить цю нову серію шкідливих програм для кліпера криптовалюти новою, так це її здатність перехоплювати журнали чатів жертв і замінювати будь-які надіслані чи отримані адреси гаманців криптовалюти на адреси, контрольовані загрозливими суб’єктами.
Ще один кластер зловмисного програмного забезпечення для кліперів криптовалюти використовує ML Kit, легітимний плагін машинного навчання на Android, щоб знаходити та викрадати вихідні фрази, що потенційно може призвести до спорожнення гаманців.
Третій кластер шкідливого програмного забезпечення спрямований на моніторинг розмов Telegram, пов’язаних з певними китайськими ключовими словами, пов’язаними з криптовалютою. У разі виявлення будь-яких відповідних повідомлень відбувається витік повного повідомлення, імені користувача, імені групи чи каналу та інших даних на віддалені сервери.
Нарешті, набір кліперів для Android має більше функцій, включаючи перемикання адрес гаманців, збір інформації про пристрій і даних Telegram, таких як повідомлення та контакти.
Нижче наведено назви цих шкідливих програмних пакетів APK:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET також виявила два кластери на базі Windows, один призначений для обміну адресами гаманців, а інший – для розподілу віддаленого доступу.