Тројанизираните верзии на популарните апликации за комуникација, како „Telegram“ или „WhatsApp“ се нудат на лажните сајтови на корисниците на „Android“ и „Windows“, кои со преземање на заразени апликации ги заразуваат своите уреди, т.н. „clipper“ малвер.
„Сите тие бараат криптовалути на жртвите, а неколку од нив ги таргетираат паричниците за складирање криптовалути“, велат истражувачите на „ESET“ Лукаш Стефанко и Петер Стричек.
Првиот случај на „clipper“ малвер во продавницата на „Google Play“ датира од 2019-та година. Тој малициозен софтвер, наречен „Android/Clipper.C“, го искористи фактот што корисниците на криптовалути обично не ги внесуваат рачно адресите на нивниот онлајн паричник, туку наместо да пишуваат, тие имаат тенденција да ги копираат адресите во привремена меморија (clipboard) каде што малициозен софтвер ја заменува адресата на жртвата со адресата на напаѓачот.
„Некои од овие апликации користат оптичко препознавање знаци (OCR) за да препознаат текст од слики од екранот зачувани на компромитирани уреди, што е уште една новина за малициозниот софтвер на Android“, се вели во извештајот на „ESET“.
Синџирот на напади започнува со тоа што корисниците кликнуваат на лажни реклами во резултатите од пребарувањето на „Google“ кои водат до стотици канали на „YouTube“, кои потоа ги насочуваат кон веб-страниците кои изгледаат како официјалните веб-страници на „Telegram“ и „WhatsApp“.
Она што е ново за најновата серија на „clippers“ е тоа што тие се способни да ги пресретнуваат разговорите на жртвите и да ги заменат сите испратени и примени адреси на паричникот за криптовалути со адреси контролирани од напаѓачите.
Друг кластер на клиперс користи „OCR“ за да пронајде и да украде seed на фрази користејќи го легитимниот приклучок за машинско учење „ML Kit“, овозможувајќи им да ги испразнат своите паричници.
Третиот кластер ги следи разговорите на „Telegram“ чекајќи одредени клучни зборови поврзани со криптовалутите. Кога ќе се препознае таков клучен збор, малициозниот софтвер ја испраќа целосната порака, заедно со корисничкото име, групата или името на каналот, до серверот на напаѓачот.
Конечно, четвртиот сет на „Android Clippers“ може да ги менува адресите на паричникот, како и да собира информации за уредот и податоци од „Telegram“, како што се пораки и контакти.
„ESET“ пронајде неколку лажни „Android APK“ пакети: org.telegram.messenger, org.telegram.messenger.web2, org.tgplus.messenger, io.busniess.va.whatsapp и com.whatsapp.
Истражувачите пронајдоа и два кластери на „Windows“, едната дизајнирана да ги замени адресите на паричникот и другата група која дистрибуира тројанци со далечински пристап (RAT) наместо клиперите за да добие контрола врз заразените компјутери и да краде криптовалути.
Овие кластери, и покрај тоа што имаат сличен начин на работа, имаат различни активности бидејќи се дело на различни програмери.
И оваа кампања, како слична забележана минатата година, е наменета за корисниците што зборуваат кинески, веројатно затоа што „Telegram“ и „WhatsApp“ се блокирани во оваа земја, па „луѓето кои сакаат да ги користат овие услуги мора да прибегнуваат кон индиректни средства за да ги добијат“, велат истражувачите. Тоа е „можност за сајбер-криминалците да ја злоупотребат ситуацијата“.
