Badacze firmy ESET zidentyfikowali trojanizowane wersje aplikacji WhatsApp i Telegram, a także dziesiątki witryn naśladowczych dla tych aplikacji do obsługi wiadomości błyskawicznych skierowanych specjalnie do użytkowników systemów Android i Windows. Większość wykrytych złośliwych programów to clipper, rodzaj złośliwego oprogramowania, które kradnie lub zmienia zawartość schowka. Całe oprogramowanie, o którym mowa, próbuje ukraść kryptowaluty ofiar, podczas gdy niektóre obierają za cel portfele kryptowalut. Po raz pierwszy firma ESET Research wykryła oprogramowanie do przycinania oparte na systemie Android, którego celem były aplikacje do obsługi wiadomości błyskawicznych. Ponadto niektóre z tych aplikacji używają optycznej identyfikacji znaków (OCR) do wyodrębniania tekstu ze zrzutów ekranu zapisanych na zaatakowanych urządzeniach. To kolejna nowość w przypadku złośliwego oprogramowania dla systemu Android.
„Oszuści próbują przejąć portfele kryptowalut za pośrednictwem komunikatorów internetowych”
Po zbadaniu języka używanego w aplikacjach imitujących okazało się, że osoby korzystające z tego oprogramowania celowały w szczególności w użytkowników chińskojęzycznych. Ponieważ zarówno Telegram, jak i WhatsApp zostały zakazane w Chinach odpowiednio od 2015 i 2017 roku, osoby chcące korzystać z tych aplikacji musiały uciekać się do środków pośrednich. Aktorzy zagrożeń, o których mowa, są przede wszystkim fałszywi. YouTube Założył Google Ads, które przekierowuje użytkowników do ich kanałów, a następnie przekierowuje użytkowników na kopiowane strony Telegram i WhatsApp. Firma ESET Research nie usuwa tych fałszywych reklam i związanych z nimi reklam YouTube zgłosiła swoje kanały do Google, a Google natychmiast zaprzestało korzystania ze wszystkich tych reklam i kanałów.
Badacz firmy ESET, Lukáš Štefanko, który wykrył aplikacje przebrane za trojana, powiedział:
„Głównym celem oprogramowania clipper, które wykryliśmy, jest przechwytywanie wiadomości ofiary i zastępowanie wysyłanych i odbieranych adresów portfela kryptowalut adresami atakującego. Oprócz zamaskowanych trojanów aplikacji WhatsApp i Telegram dla systemu Android, wykryliśmy również ukryte wersje tych samych aplikacji dla systemu Windows”.
Wersje tych aplikacji przebrane za trojany mają różne funkcje, chociaż służą temu samemu celowi. Recenzowane oprogramowanie Clipper dla systemu Android jest pierwszym szkodliwym oprogramowaniem dla systemu Android, które wykorzystuje OCR do odczytywania tekstu ze zrzutów ekranu i zdjęć przechowywanych na urządzeniu ofiary. OCR służy do wyszukiwania i odtwarzania frazy kluczowej. Kluczową frazą jest kod mnemoniczny, zestaw słów używanych do odzyskiwania portfeli kryptowalut. Gdy tylko złośliwi aktorzy zdobędą kluczową frazę, mogą bezpośrednio ukraść wszystkie kryptowaluty z odpowiedniego portfela.
Złośliwe oprogramowanie wysyła atakującemu adres portfela kryptowalut ofiary. sohbet zastępuje go adresem. Robi to za pomocą adresów bezpośrednio w programie lub dynamicznie uzyskiwanych z serwera atakującego. Ponadto oprogramowanie monitoruje wiadomości Telegram w celu wykrycia określonych słów kluczowych związanych z kryptowalutami. Gdy tylko oprogramowanie wykryje takie słowo kluczowe, przekazuje całą wiadomość na serwer atakującego.
Firma ESET Research wykryła oparte na systemie Windows instalatory Telegram i WhatsApp zawierające trojany dostępu zdalnego (RAT), a także wersje Windows tych programów do przycinania adresów portfeli. Na podstawie modelu aplikacji wykryto, że jeden ze szkodliwych pakietów dla systemu Windows nie był oprogramowaniem clipper, ale RAT, który mógł przejąć pełną kontrolę nad systemem ofiary. W ten sposób te RAT mogą kraść portfele kryptowalut bez przechwytywania przepływu aplikacji.
Lukas Stefanko dał następujące rady w tym zakresie:
„Instaluj aplikacje tylko z zaufanych i wiarygodnych źródeł, takich jak Sklep Google Play, i nie przechowuj na urządzeniu niezaszyfrowanych zdjęć ani zrzutów ekranu, które zawierają ważne informacje. Jeśli uważasz, że masz na swoim urządzeniu aplikację Telegram lub WhatsApp pod przykrywką trojana, ręcznie odinstaluj te aplikacje ze swojego urządzenia i pobierz aplikację z Google Play lub bezpośrednio z legalnej strony internetowej. Jeśli podejrzewasz, że masz złośliwą aplikację Telegram na swoim urządzeniu z systemem Windows, użyj rozwiązania zabezpieczającego, które wykryje i usunie zagrożenie. Jedyna oficjalna wersja WhatsApp dla Windows jest obecnie dostępna w sklepie Microsoft”.