ESET-forskere har identifisert trojaniserte versjoner av WhatsApp- og Telegram-apper, samt dusinvis av copycat-nettsteder for de direktemeldingsappene som er spesifikt rettet mot Android- og Windows-brukere. Det meste av skadelig programvare som oppdages er clipper, en type skadelig programvare som stjeler eller endrer innholdet på utklippstavlen. All den aktuelle programvaren prøver å stjele ofrenes kryptovalutaer, mens noen retter seg mot kryptovaluta-lommebøker. For første gang har ESET Research oppdaget Android-basert clipper-programvare som er spesifikt rettet mot direktemeldingsapper. Noen av disse appene bruker også optisk tegnidentifikasjon (OCR) for å trekke ut tekst fra skjermbilder som er lagret på kompromitterte enheter. Dette er nok en nyhet for Android-basert skadelig programvare.
"Svindlere prøver å beslaglegge kryptovaluta-lommebøker via direktemeldingsapper"
Da språket som ble brukt i imitasjonsapplikasjonene ble undersøkt, ble det avslørt at personene som brukte denne programvaren var spesielt rettet mot kinesisktalende brukere. Siden både Telegram og WhatsApp har vært forbudt i Kina siden henholdsvis 2015 og 2017, måtte folk som ønsket å bruke disse appene ty til indirekte midler. De aktuelle trusselaktørene er for det første falske. YouTube Han satte opp Google Ads, som omdirigerer brukere til kanalene deres, og deretter omdirigerer brukere til kopierte Telegram- og WhatsApp-nettsteder. ESET Research fjerner ikke disse falske annonsene og relaterte YouTube rapporterte sine kanaler til Google, og Google avsluttet umiddelbart bruken av alle disse annonsene og kanalene.
ESET-forsker Lukáš Štefanko, som oppdaget trojansk-forkledde applikasjoner, sa:
«Hovedformålet med clipper-programvaren vi oppdaget er å fange opp offerets meldinger og erstatte de sendte og mottatte kryptovaluta-lommebokadressene med adressene til angriperen. I tillegg til de trojanske forkledde Android-baserte WhatsApp- og Telegram-appene, oppdaget vi også trojansk-skjulte Windows-versjoner av de samme appene."
Trojanske forkledde versjoner av disse appene har forskjellige funksjoner, selv om de tjener samme formål. Den anmeldte Android-baserte clipper-programvaren er den første Android-baserte skadelige programvaren som bruker OCR for å lese tekst fra skjermbilder og bilder som er lagret på offerets enhet. OCR brukes til å finne og spille nøkkelfrasen. Nøkkelsetningen er en mnemonisk kode, et sett med ord som brukes til å gjenopprette kryptovaluta-lommebøker. Så snart de ondsinnede aktørene får tak i nøkkelfrasen, kan de direkte stjele alle kryptovalutaene i den respektive lommeboken.
Skadevaren sender offerets cryptocurrency-lommebokadresse til angriperen. sohbet erstatter den med adressen. Den gjør dette med adresser enten direkte i programmet eller dynamisk hentet fra angriperens server. I tillegg overvåker programvaren Telegram-meldinger for å oppdage spesifikke nøkkelord relatert til kryptovalutaer. Så snart programvaren oppdager et slikt nøkkelord, videresender den hele meldingen til angriperens server.
ESET Research har oppdaget Windows-baserte Telegram- og WhatsApp-installasjonsprogrammer som inneholder fjerntilgangstrojanere (RAT-er), samt Windows-versjoner av disse lommebokadresseendrende clipper-programvarene. Basert på applikasjonsmodellen ble det oppdaget at en av de Windows-baserte ondsinnede pakkene ikke var clipper-programvare, men RAT-er som kunne ta fullstendig kontroll over offerets system. Dermed kan disse RAT-ene stjele kryptovaluta-lommebøker uten å avskjære applikasjonsflyten.
Lukas Stefanko ga følgende råd i denne forbindelse:
"Installer apper kun fra pålitelige og pålitelige kilder, for eksempel Google Play Store, og ikke lagre ukrypterte bilder eller skjermbilder på enheten din som inneholder viktig informasjon. Hvis du tror du har en trojansk forkledd Telegram- eller WhatsApp-applikasjon på enheten din, avinstaller du disse applikasjonene manuelt fra enheten din og laster ned applikasjonen enten fra Google Play eller direkte fra det legitime nettstedet. Hvis du mistenker at du har en ondsinnet Telegram-app på din Windows-baserte enhet, bruk en sikkerhetsløsning som oppdager og fjerner trusselen. Den eneste offisielle versjonen av WhatsApp for Windows er for øyeblikket tilgjengelig i Microsoft-butikken."