Pastaruoju metu interneto svetainės, imituojančios momentinių pranešimų programas, tokias kaip „Telegram“ ir „WhatsApp“, buvo naudojamos kenkėjiškoms programoms, užkrečiančioms „Android“ ir „Windows“ sistemas, platinti. Ši kenkėjiška programa yra žinoma kaip kriptovaliutų kirpimo programa, kuria siekiama pavogti aukų kriptovaliutų lėšas, kai kurios konkrečiai nukreiptos į kriptovaliutų pinigines.
Tyrėjai Lukášas Štefanko ir Peteris Strýčekas iš Slovakijos kibernetinio saugumo bendrovės ESET savo naujausioje analizės ataskaitoje teigė: „Visos šios kenkėjiškos programos yra nukreiptos į aukų kriptovaliutų lėšas, kai kurios – į kriptovaliutų pinigines“.
Nors pirmasis kriptovaliutų kirpimo kenkėjiškų programų atvejis „Google Play“ parduotuvėje gali būti atsektas 2019 m., ši plėtra yra pirmasis kartas, kai „Android“ pagrindu veikianti kriptovaliutų kirpimo kenkėjiška programa buvo integruota į momentinių pranešimų programas.
Be to, kai kurios iš šių programų taip pat naudoja optinio simbolių atpažinimo (OCR) technologiją, kad atpažintų tekstą iš ekrano kopijų, saugomų užkrėstuose įrenginiuose. Tai taip pat pirmoji „Android“ kenkėjiškų programų versija.
Atakos grandinė prasideda netyčia spustelėjus apgaulingus skelbimus „Google“ paieškos rezultatuose, dėl kurių atsiranda šimtai įtartinų „YouTube“ kanalų, galiausiai nukreipiant vartotojus į svetaines, panašias į „Telegram“ ir „WhatsApp“.
Šią naujausią kriptovaliutų kirpimo mašinėlės kenkėjiškų programų seriją paverčia jos galimybė perimti aukų pokalbių žurnalus ir pakeisti visus išsiųstus ar gautus kriptovaliutų piniginės adresus adresais, kuriuos kontroliuoja grėsmės veikėjai.
Kitas kriptovaliutų kirpimo priemonių klasteris naudoja ML Kit, teisėtą „Android“ mašininio mokymosi papildinį, kad surastų ir pavogtų pradines frazes, dėl kurių gali ištuštėti piniginės.
Trečioji kenkėjiškų programų grupė siekia stebėti „Telegram“ pokalbius, susijusius su tam tikrais Kinijos raktiniais žodžiais, susijusiais su kriptovaliuta. Jei randami atitinkami pranešimai, visas pranešimas, vartotojo vardas, grupės ar kanalo pavadinimas ir kiti duomenys nutekinami į nuotolinius serverius.
Galiausiai, „Android“ kirpimo mašinėlių rinkinys turi daugiau funkcijų, įskaitant piniginės adresų perjungimą, įrenginio informacijos rinkimą ir „Telegram“ duomenis, pvz., pranešimus ir kontaktus.
Toliau pateikiami šių kenkėjiškų APK programinės įrangos paketų pavadinimai:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET taip pat atrado du „Windows“ pagrindu veikiančius grupes, kurių viena skirta piniginės adresams keistis, o kita – nuotolinės prieigos paskirstymui.
