Дослідники ESET виявили троянські версії додатків WhatsApp і Telegram, а також десятки копіювальних веб-сайтів для цих додатків обміну миттєвими повідомленнями, спеціально націлених на користувачів Android і Windows. Більшість виявлених зловмисних програм — це кліпери, тип шкідливих програм, які викрадають або змінюють вміст буфера обміну. Усе програмне забезпечення, про яке йде мова, намагається викрасти криптовалюту жертв, а деякі націлені на гаманці криптовалюти. Вперше дослідження ESET виявили програмне забезпечення кліпера на базі Android, спеціально націлене на програми обміну миттєвими повідомленнями. Крім того, деякі з цих програм використовують оптичну ідентифікацію символів (OCR), щоб отримати текст зі знімків екрана, збережених на зламаних пристроях. Це ще одне перше зловмисне програмне забезпечення на базі Android.
«Шахраї намагаються заволодіти криптовалютними гаманцями через програми обміну миттєвими повідомленнями»
Під час вивчення мови, яка використовується в імітаційних програмах, було виявлено, що люди, які використовують це програмне забезпечення, були націлені на китайськомовних користувачів. Оскільки Telegram і WhatsApp були заборонені в Китаї з 2015 і 2017 років відповідно, людям, які хотіли використовувати ці програми, довелося вдатися до непрямих засобів. Йдеться, перш за все, про фейкових суб’єктів загрози. YouTube Він налаштував Google Ads, яка перенаправляє користувачів на їхні канали, а потім перенаправляє користувачів на імітаційні веб-сайти Telegram і WhatsApp. ESET Research не видаляє цю неправдиву рекламу та пов’язані з нею оголошення YouTube повідомила про свої канали в Google, і Google негайно припинив використання всіх цих рекламних оголошень і каналів.
Дослідник ESET Лукаш Штефанко, який виявив програми, замасковані під трояни, сказав:
«Основна мета програмного забезпечення кліпера, яке ми виявили, — перехоплювати повідомлення жертви та замінювати надіслані та отримані адреси гаманців криптовалюти на адреси зловмисника. Крім замаскованих під трояном додатків WhatsApp і Telegram на основі Android, ми також виявили приховані під трояном версії тих самих додатків для Windows».
Замасковані під трояни версії цих додатків мають різні функції, хоча служать одній меті. Переглянуте програмне забезпечення кліпера на базі Android є першим зловмисним програмним забезпеченням на базі Android, яке використовує OCR для читання тексту зі скріншотів і фотографій, що зберігаються на пристрої жертви. OCR використовується для пошуку та відтворення ключової фрази. Ключова фраза — мнемонічний код, набір слів, які використовуються для відновлення гаманців криптовалюти. Як тільки зловмисники заволодіють ключовою фразою, вони можуть безпосередньо викрасти всі криптовалюти у відповідному гаманці.
Зловмисне програмне забезпечення надсилає зловмисникові адресу гаманця криптовалюти жертви. sohbet замінює його адресою. Він робить це за допомогою адрес безпосередньо в програмі або динамічно отриманих із сервера зловмисника. Крім того, програмне забезпечення відстежує повідомлення Telegram, щоб виявити конкретні ключові слова, пов’язані з криптовалютами. Як тільки програмне забезпечення виявляє таке ключове слово, воно пересилає все повідомлення на сервер зловмисника.
Дослідження ESET виявили інсталятори Telegram і WhatsApp для Windows, які містять трояни віддаленого доступу (RAT), а також версії Windows цього програмного забезпечення для відсікання адрес гаманця. На основі прикладної моделі було виявлено, що один із шкідливих пакетів для Windows був не кліпером, а RAT, який міг отримати повний контроль над системою жертви. Таким чином, ці RATs можуть красти криптовалютні гаманці, не перехоплюючи потік програми.
З цього приводу Лукас Стефанко дав таку пораду:
«Встановлюйте програми лише з перевірених і надійних джерел, таких як Google Play Store, і не зберігайте на своєму пристрої незашифровані зображення чи скріншоти, які містять важливу інформацію. Якщо ви вважаєте, що на вашому пристрої є замаскована троянською програмою Telegram або WhatsApp, вручну видаліть ці програми зі свого пристрою та завантажте програму з Google Play або безпосередньо з законного веб-сайту. Якщо ви підозрюєте, що на вашому пристрої під керуванням Windows є шкідлива програма Telegram, скористайтеся рішенням безпеки, яке виявляє та усуває загрозу. Єдина офіційна версія WhatsApp для Windows наразі доступна в магазині Microsoft».