Исследователи ESET выявили троянские версии приложений WhatsApp и Telegram, а также десятки веб-сайтов-подражателей этих приложений для обмена мгновенными сообщениями, специально предназначенных для пользователей Android и Windows. Большая часть обнаруженных вредоносных программ относится к типу clipper, который крадет или изменяет содержимое буфера обмена. Все рассматриваемое программное обеспечение пытается украсть криптовалюты жертв, в то время как некоторые нацелены на криптовалютные кошельки. ESET Research впервые обнаружила программное обеспечение для обрезки на базе Android, специально предназначенное для приложений для обмена мгновенными сообщениями. Кроме того, некоторые из этих приложений используют оптическую идентификацию символов (OCR) для извлечения текста из снимков экрана, сохраненных на взломанных устройствах. Это еще одно новшество среди вредоносных программ для Android.
«Мошенники пытаются завладеть криптовалютными кошельками через приложения для обмена мгновенными сообщениями»
При изучении языка, используемого в имитационных приложениях, выяснилось, что люди, использующие это программное обеспечение, в первую очередь нацелены на пользователей, говорящих по-китайски. Поскольку и Telegram, и WhatsApp были запрещены в Китае с 2015 и 2017 годов соответственно, людям, которые хотели использовать эти приложения, приходилось прибегать к косвенным средствам. Угрозы, о которых идет речь, в первую очередь фальшивые. YouTube Он настроил Google Ads, который перенаправляет пользователей на их каналы, а затем перенаправляет пользователей на сайты-подражатели Telegram и WhatsApp. ESET Research не удаляет эти ложные рекламные объявления и связанные с ними YouTube сообщила о своих каналах в Google, и Google немедленно прекратил использование всей этой рекламы и каналов.
Исследователь ESET Лукаш Штефанко, обнаруживший приложения, замаскированные под троянцев, сказал:
«Основная цель обнаруженного нами программного обеспечения клипера — перехватить сообщения жертвы и заменить отправленные и полученные адреса криптовалютного кошелька адресами злоумышленника. Помимо приложений WhatsApp и Telegram для Android, замаскированных под трояна, мы также обнаружили скрытые под трояном версии тех же приложений для Windows».
Замаскированные под троянов версии этих приложений имеют разные функции, хотя служат одной цели. Рассмотренное программное обеспечение клипера на базе Android является первым вредоносным ПО на базе Android, которое использует OCR для чтения текста со снимков экрана и фотографий, хранящихся на устройстве жертвы. OCR используется для поиска и воспроизведения ключевой фразы. Ключевая фраза — мнемонический код, состоящий из набора слов, используемых для восстановления криптовалютных кошельков. Как только злоумышленники получают ключевую фразу, они могут напрямую украсть все криптовалюты в соответствующем кошельке.
Вредоносное ПО отправляет злоумышленнику адрес криптовалютного кошелька жертвы. sohbet заменяет его адресом. Он делает это с помощью адресов либо непосредственно в программе, либо динамически получаемых с сервера злоумышленника. Кроме того, программное обеспечение отслеживает сообщения Telegram для обнаружения определенных ключевых слов, связанных с криптовалютами. Как только программа обнаруживает такое ключевое слово, она пересылает все сообщение на сервер злоумышленника.
ESET Research обнаружила установщики Telegram и WhatsApp для Windows, содержащие трояны удаленного доступа (RAT), а также версии этих программ для удаления адресов кошельков для Windows. На основе модели приложения было обнаружено, что один из вредоносных пакетов для Windows был не программным обеспечением клипера, а RAT, которые могли получить полный контроль над системой жертвы. Таким образом, эти RAT могут красть криптовалютные кошельки, не перехватывая поток приложений.
Лукас Стефанко дал по этому поводу следующий совет:
«Устанавливайте приложения только из проверенных и надежных источников, таких как Google Play Store, и не храните на своем устройстве незашифрованные картинки или скриншоты, содержащие важную информацию. Если вы считаете, что на вашем устройстве установлено приложение Telegram или WhatsApp, замаскированное под троянца, вручную удалите эти приложения со своего устройства и загрузите приложение либо из Google Play, либо непосредственно с легитимного веб-сайта. Если вы подозреваете, что на вашем устройстве под управлением Windows установлено вредоносное приложение Telegram, используйте решение для обеспечения безопасности, которое обнаруживает и устраняет угрозу. Единственная официальная версия WhatsApp для Windows в настоящее время доступна в магазине Microsoft».