I ricercatori ESET hanno identificato versioni trojanizzate delle app WhatsApp e Telegram, oltre a dozzine di siti Web imitatori per quelle app di messaggistica istantanea rivolte specificamente agli utenti Android e Windows. La maggior parte del malware rilevato è clipper, un tipo di malware che ruba o altera i contenuti degli appunti. Tutto il software in questione cerca di rubare le criptovalute delle vittime, mentre alcuni prendono di mira i portafogli di criptovaluta. Per la prima volta, la ricerca ESET ha rilevato un software clipper basato su Android mirato specificamente alle app di messaggistica istantanea. Inoltre, alcune di queste app utilizzano l'identificazione ottica dei caratteri (OCR) per estrarre il testo dagli screenshot salvati su dispositivi compromessi. Questa è un'altra novità per il malware basato su Android.
"I truffatori stanno cercando di sequestrare portafogli di criptovaluta tramite app di messaggistica istantanea"
Quando è stata esaminata la lingua utilizzata nelle applicazioni di imitazione, è stato rivelato che le persone che utilizzavano questi software si rivolgevano in particolare agli utenti di lingua cinese. Poiché sia Telegram che WhatsApp sono stati vietati in Cina rispettivamente dal 2015 e dal 2017, le persone che volevano utilizzare queste app hanno dovuto ricorrere a mezzi indiretti. Gli attori della minaccia in questione sono prima di tutto falsi. YouTube Ha impostato Google Ads, che reindirizza gli utenti ai loro canali, quindi reindirizza gli utenti ai siti web imitatori di Telegram e WhatsApp. ESET Research non rimuove queste pubblicità false e correlate YouTube ha segnalato i suoi canali a Google e Google ha immediatamente interrotto l'uso di tutti questi annunci e canali.
Il ricercatore ESET Lukáš Štefanko, che ha rilevato applicazioni mascherate da trojan, ha dichiarato:
“Lo scopo principale del software clipper che abbiamo rilevato è catturare i messaggi della vittima e sostituire gli indirizzi del portafoglio di criptovaluta inviati e ricevuti con gli indirizzi dell'aggressore. Oltre alle app WhatsApp e Telegram basate su Android camuffate da trojan, abbiamo anche rilevato versioni Windows nascoste da trojan delle stesse app.
Le versioni camuffate da trojan di queste app hanno funzionalità diverse, sebbene abbiano lo stesso scopo. Il software clipper basato su Android recensito è il primo malware basato su Android a utilizzare l'OCR per leggere il testo da schermate e foto memorizzate sul dispositivo della vittima. L'OCR viene utilizzato per trovare e riprodurre la frase chiave. La frase chiave è un codice mnemonico, un insieme di parole utilizzate per recuperare i portafogli di criptovalute. Non appena gli attori malintenzionati si impossessano della frase chiave, possono rubare direttamente tutte le criptovalute nel rispettivo portafoglio.
Il malware invia l'indirizzo del portafoglio di criptovaluta della vittima all'aggressore. sohbet lo sostituisce con l'indirizzo. Lo fa con gli indirizzi direttamente nel programma o ottenuti dinamicamente dal server dell'attaccante. Inoltre, il software monitora i messaggi di Telegram per rilevare parole chiave specifiche relative alle criptovalute. Non appena il software rileva tale parola chiave, inoltra l'intero messaggio al server dell'aggressore.
La ricerca ESET ha rilevato programmi di installazione di Telegram e WhatsApp basati su Windows contenenti trojan di accesso remoto (RAT), nonché versioni Windows di questi software clipper che alterano l'indirizzo del portafoglio. In base al modello dell'applicazione, è stato scoperto che uno dei pacchetti dannosi basati su Windows non era un software clipper, ma RAT in grado di assumere il controllo completo del sistema della vittima. Pertanto, questi RAT possono rubare portafogli di criptovaluta senza intercettare il flusso dell'applicazione.
Lukas Stefanko ha dato i seguenti consigli a questo proposito:
“Installa app solo da fonti attendibili e affidabili, come Google Play Store, e non archiviare immagini o screenshot non crittografati sul tuo dispositivo che contengono informazioni importanti. Se ritieni di avere un'applicazione Telegram o WhatsApp camuffata da trojan sul tuo dispositivo, disinstalla manualmente queste applicazioni dal tuo dispositivo e scarica l'applicazione da Google Play o direttamente dal sito Web legittimo. Se sospetti di avere un'app Telegram dannosa sul tuo dispositivo basato su Windows, utilizza una soluzione di sicurezza che rilevi e rimuova la minaccia. L'unica versione ufficiale di WhatsApp per Windows è attualmente disponibile nel Microsoft Store."