Viime aikoina Internet-sivustoja, jotka matkivat pikaviestisovelluksia, kuten Telegram ja WhatsApp, on käytetty Android- ja Windows-järjestelmiä saastuttavien haittaohjelmien levittämiseen. Tämä haittaohjelma tunnetaan kryptovaluuttaleikkuri-haittaohjelmana, jonka tarkoituksena on varastaa uhrien kryptovaluuttavaroja, joista osa kohdistuu erityisesti kryptovaluuttalompakoihin.
Slovakialaisen kyberturvayrityksen ESET:n tutkijat Lukáš Štefanko ja Peter Strýček totesivat viimeisimmässä analyysiraportissaan:
Kaikki nämä haitalliset sovellukset kohdistuvat uhrien kryptovaluuttarahastoihin, joista osa on kohdistettu kryptovaluuttalompakoihin.
Vaikka ensimmäinen kryptovaluuttaleikkurin haittaohjelma Google Play Kaupassa voidaan jäljittää vuoteen 2019, tämä kehitys on ensimmäinen kerta, kun Android-pohjainen kryptovaluutanleikkurin haittaohjelma on rakennettu pikaviestisovelluksiin.
Lisäksi jotkin näistä sovelluksista käyttävät myös optista merkintunnistustekniikkaa (OCR) tekstin tunnistamiseen tartunnan saaneille laitteille tallennetuista kuvakaappauksista, mikä on myös ensimmäinen Android-haittaohjelmissa.
Hyökkäysketju alkaa tahattomasti napsauttamalla vilpillisiä mainoksia Googlen hakutuloksissa, mikä johtaa satoihin epäilyttäviin YouTube-kanaviin ja lopulta ohjaa käyttäjät Telegramin ja WhatsAppin kaltaisille verkkosivustoille.
Mikä tekee tästä uusimmasta erästä kryptovaluuttaleikkuri-haittaohjelmaromaania, on sen kyky siepata uhrien chat-lokit ja korvata lähetetyt tai vastaanotetut kryptovaluuttalompakkoosoitteet uhkatoimijoiden hallitsemilla osoitteilla.
Toinen kryptovaluutanleikkurin haittaohjelmien klusteri käyttää Androidin laillista koneoppimislaajennusta ML Kitiä etsimään ja varastamaan siemenlauseita, mikä voi johtaa lompakoiden tyhjentämiseen.
Kolmas haittaohjelmaklusteri pyrkii seuraamaan Telegram-keskusteluja, jotka liittyvät tiettyihin kiinalaisiin kryptovaluuttaan liittyviin avainsanoihin. Jos asiaankuuluvia viestejä löytyy, se vuotaa koko viestin, käyttäjänimen, ryhmän tai kanavan nimen ja muut tiedot etäpalvelimille.
Lopuksi Android-leikkurisarjassa on enemmän toimintoja, kuten lompakko-osoitteiden vaihtaminen, laitetietojen kerääminen ja Telegram-tiedot, kuten viestit ja yhteystiedot.
Seuraavat ovat näiden haitallisten APK-ohjelmistopakettien nimet:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET löysi myös kaksi Windows-pohjaista klusteria, joista toinen on suunniteltu lompakko-osoitteiden vaihtamiseen ja toinen etäkäytön jakamiseen.
