Ostatnio strony internetowe imitujące komunikatory, takie jak Telegram i WhatsApp, były wykorzystywane do dystrybucji złośliwego oprogramowania, które infekuje systemy Android i Windows. To złośliwe oprogramowanie jest znane jako złośliwe oprogramowanie do wycinania kryptowalut, którego celem jest kradzież funduszy kryptowalutowych ofiar, przy czym niektóre z nich są specjalnie ukierunkowane na portfele kryptowalut.
Badacze Lukáš Štefanko i Peter Strýček ze słowackiej firmy zajmującej się cyberbezpieczeństwem ESET stwierdzili w swoim najnowszym raporcie analitycznym: „Wszystkie te złośliwe aplikacje obierają za cel fundusze kryptowalutowe ofiar, a niektóre z nich atakują portfele kryptowalutowe”.
Chociaż pierwsze wystąpienie złośliwego oprogramowania do obcinania kryptowalut w sklepie Google Play można prześledzić wstecz do 2019 r., rozwój ten jest pierwszym przypadkiem, w którym złośliwe oprogramowanie do obcinania kryptowalut na Androida zostało wbudowane w aplikacje do obsługi wiadomości błyskawicznych.
Co więcej, niektóre z tych aplikacji wykorzystują również technologię optycznego rozpoznawania znaków (OCR) do identyfikowania tekstu ze zrzutów ekranu przechowywanych na zainfekowanych urządzeniach, co jest również pierwszym tego rodzaju zjawiskiem w złośliwym oprogramowaniu dla Androida.
Łańcuch ataków rozpoczyna się od niezamierzonego kliknięcia oszukańczych reklam w wynikach wyszukiwania Google, co prowadzi do setek podejrzanych kanałów YouTube, ostatecznie przekierowując użytkowników na strony podobne do Telegrama i WhatsApp.
To, co sprawia, że ta najnowsza partia złośliwego oprogramowania do wycinania kryptowalut jest nowatorska, to zdolność do przechwytywania dzienników czatów ofiar i zastępowania wszelkich wysłanych lub otrzymanych adresów portfela kryptowalut adresami kontrolowanymi przez cyberprzestępców.
Inny klaster złośliwego oprogramowania do wycinania kryptowalut wykorzystuje ML Kit, legalną wtyczkę do uczenia maszynowego na Androida, do znajdowania i kradzieży fraz źródłowych, co może skutkować opróżnieniem portfeli.
Trzeci klaster złośliwego oprogramowania ma na celu monitorowanie rozmów w Telegramie związanych z niektórymi chińskimi słowami kluczowymi związanymi z kryptowalutą. W przypadku znalezienia odpowiednich wiadomości wycieka cała wiadomość, nazwa użytkownika, nazwa grupy lub kanału oraz inne dane do zdalnych serwerów.
Wreszcie, zestaw do strzyżenia Androida ma więcej funkcji, w tym przełączanie adresów portfela, zbieranie informacji o urządzeniu i danych telegramu, takich jak wiadomości i kontakty.
Oto nazwy tych złośliwych pakietów oprogramowania APK:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.Whatsapp
Firma ESET wykryła również dwa klastry oparte na systemie Windows, jeden przeznaczony do wymiany adresów portfeli, a drugi do dystrybucji zdalnego dostępu.
