Недавно су веб локације које опонашају апликације за размену тренутних порука као што су Телеграм и ВхатсАпп коришћене за дистрибуцију малвера који инфицира Андроид и Виндовс системе. Овај злонамерни софтвер је познат као малвер за клипер за криптовалуте, који има за циљ да украде криптовалутна средства жртава, а неки посебно циљају новчанике за криптовалуте.
Истраживачи Лукаш Штефанко и Петер Стрычек из словачке компаније за сајбер безбедност ЕСЕТ навели су у свом најновијем извештају о анализи: „Све ове злонамерне апликације циљају средства криптовалута жртава, а неке циљају новчанике криптовалута.
Иако се прва инстанца малвера за клипер за криптовалуте у Гоогле Плаи продавници може пратити до 2019. године, овај развој означава први пут да је малвер за клипер за криптовалуте заснован на Андроиду уграђен у апликације за размену тренутних порука.
Штавише, неке од ових апликација такође користе технологију оптичког препознавања карактера (ОЦР) за идентификацију текста са снимака екрана сачуваних на зараженим уређајима, што је такође прво у Андроид малверу.
Ланац напада почиње ненамерним кликом на лажне огласе у резултатима Гоогле претраге, што доводи до стотина сумњивих ИоуТубе канала, на крају преусмерава кориснике на веб странице сличне Телеграму и ВхатсАпп-у.
Оно што ову најновију серију малвера за клипер за криптовалуте чини новим је његова способност да пресретне дневнике ћаскања жртава и замени све послате или примљене адресе новчаника за криптовалуте онима које контролишу актери претњи.
Још један кластер злонамерног софтвера за клипер за криптовалуте користи МЛ Кит, легитимни додатак за машинско учење на Андроиду, да пронађе и украде основне фразе, што потенцијално доводи до пражњења новчаника.
Трећи кластер злонамерног софтвера има за циљ да надгледа Телеграм разговоре у вези са одређеним кинеским кључним речима у вези са криптовалутама. Ако се пронађе било која релевантна порука, она пропушта целу поруку, корисничко име, име групе или канала и друге податке на удаљене сервере.
На крају, Андроид сет за шишање има више функционалности, укључујући промену адреса новчаника, прикупљање информација о уређају и Телеграм података као што су поруке и контакти.
У наставку су називи ових злонамерних АПК софтверских пакета:
орг.телеграм.мессенгер
орг.телеграм.мессенгер.веб2
орг.тгплус.мессенгер
ио.бусниесс.ва.вхатсапп
цом.вхатсапп
ЕСЕТ је такође открио два кластера заснована на Виндовс-у, један дизајниран за замену адреса новчаника, а други за дистрибуцију даљинског приступа.
