Наскоро уебсайтове, имитиращи приложения за незабавни съобщения като Telegram и WhatsApp, бяха използвани за разпространение на зловреден софтуер, който заразява системите Android и Windows. Този злонамерен софтуер е известен като злонамерен софтуер за подстригване на криптовалута, който има за цел да открадне криптовалутни средства на жертвите, като някои са насочени специално към портфейли за криптовалута.
Изследователите Лукаш Щефанко и Петер Стричек от словашката компания за киберсигурност ESET заявиха в последния си доклад за анализ, „Всички тези злонамерени приложения са насочени към средствата на жертвите в криптовалута, като някои са насочени към портфейли с криптовалута.“
Въпреки че първият случай на злонамерен софтуер за подстригване на криптовалута в Google Play Store може да бъде проследен до 2019 г., това развитие бележи първия път, когато злонамерен софтуер за подстригване на криптовалута, базиран на Android, е вграден в приложения за незабавни съобщения.
Освен това, някои от тези приложения също използват технология за оптично разпознаване на знаци (OCR), за да идентифицират текст от екранни снимки, съхранени на заразени устройства, което също е първото в зловреден софтуер за Android.
Веригата на атаката започва с неволно щракване върху измамни реклами в резултатите от търсенето с Google, което води до стотици подозрителни канали в YouTube, като в крайна сметка пренасочва потребителите към уебсайтове, подобни на Telegram и WhatsApp.
Това, което прави тази най-нова партида злонамерен софтуер за подстригване на криптовалута нова, е способността му да прихваща чат регистрационните файлове на жертвите и да заменя всички изпратени или получени адреси на портфейла за криптовалута с тези, контролирани от участници в заплаха.
Друг клъстер от злонамерен софтуер за подстригване на криптовалута използва ML Kit, легитимен плъгин за машинно обучение на Android, за намиране и кражба на начални фрази, което потенциално води до изпразване на портфейли.
Трети клъстер от злонамерен софтуер има за цел да наблюдава разговори в Telegram, свързани с определени китайски ключови думи, свързани с криптовалута. Ако се намерят съответни съобщения, изтича цялото съобщение, потребителското име, името на групата или канала и други данни към отдалечени сървъри.
И накрая, комплектът за подстригване на Android има повече функционалности, включително превключване на адреси на портфейли, събиране на информация за устройството и данни на Telegram, като съобщения и контакти.
По-долу са имената на тези злонамерени APK софтуерни пакети:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET също откри два базирани на Windows клъстера, единият предназначен за размяна на адреси на портфейли, а другият за разпределяне на отдалечен достъп.