Компания ESET Research обнаружила первый случай использования клипперов, встроенных в приложения для обмена мгновенными сообщениями.
По данным компании, занимающейся исследованиями в области кибербезопасности, хакеры охотятся за криптовалютными средствами жертв, используя троянизированные приложения Telegram и WhatsApp для Android и Windows.
Вредоносная программа может менять адреса криптовалютных кошельков, которые жертва отправляет в сообщениях чата, на адреса, принадлежащие злоумышленнику. Некоторые клипперы используют оптическое распознавание символов для извлечения текста из скриншотов и кражи фраз для восстановления криптовалютных кошельков. Помимо клипперов, ESET также обнаружила трояны удаленного доступа в комплекте с вредоносными версиями WhatsApp и Telegram для Windows.
Клипперы - это тип вредоносных программ, которые крадут или изменяют содержимое буфера обмена. Все они охотятся за криптовалютными средствами жертв, причем некоторые из них нацелены на криптовалютные кошельки.
Это первый случай, когда специалисты ESET Research увидели клипперы для Android, ориентированные именно на обмен мгновенными сообщениями. Более того, некоторые из этих приложений используют оптическое распознавание символов (OCR) для распознавания текста со скриншотов, сохраненных на скомпрометированных устройствах, что является еще одним первым случаем для вредоносного ПО для Android.
Судя по языку, используемому в приложениях-подражателях, похоже, что операторы, стоящие за ними, в основном нацелены на китайскоговорящих пользователей. Поскольку Telegram и WhatsApp заблокированы в Китае уже несколько лет, причем Telegram заблокирован с 2015 года, а WhatsApp - с 2017 года, люди, желающие воспользоваться этими услугами, вынуждены прибегать к косвенным способам их получения.
Злоумышленники сначала установили рекламу Google Ads, ведущую на мошеннические каналы YouTube, которые затем перенаправляли пользователей на поддельные сайты Telegram и WhatsApp. ESET Research немедленно сообщила о мошеннических объявлениях и связанных с ними каналах YouTube в Google, который незамедлительно закрыл их все.
Основная цель обнаруженных нами клипперов - перехват сообщений жертвы и замена всех отправленных и полученных адресов криптовалютных кошельков на адреса, принадлежащие злоумышленникам...
Помимо троянских приложений WhatsApp и Telegram для Android, мы также обнаружили троянские версии тех же приложений для Windows.
- говорит исследователь ESET Luk tefanko, обнаруживший троянские приложения.
Несмотря на одинаковое общее назначение, троянизированные версии этих приложений содержат различные дополнительные функции". Проанализированные Android-клипперы представляют собой первый случай вредоносного ПО для Android, использующего OCR для чтения текста со скриншотов и фотографий, хранящихся на устройстве жертвы. OCR используется для поиска и кражи начальной фразы, которая представляет собой мнемонический код, состоящий из серии слов, используемых для восстановления криптовалютных кошельков. Как только злоумышленники завладевают начальной фразой, они могут украсть всю криптовалюту непосредственно из связанного кошелька.
В другом случае вредоносная программа просто меняет адрес криптовалютного кошелька жертвы на адрес злоумышленника в чате, причем адреса либо жестко закодированы, либо динамически извлекаются с сервера злоумышленника. В другом случае вредоносная программа отслеживает общение в Telegram на предмет определенных ключевых слов, связанных с криптовалютами. Как только такое ключевое слово распознается, вредоносная программа отправляет полное сообщение на сервер злоумышленника.
ESET Research также обнаружила Windows-версии клипперов для переключения кошельков, а также программы установки Telegram и WhatsApp для Windows в комплекте с троянами удаленного доступа (RAT). В отступление от установленной схемы, один из комплектов вредоносного ПО для Windows состоит не из клипперов, а из RAT, позволяющих полностью контролировать систему жертвы. Таким образом, RAT могут похищать криптовалютные кошельки, не перехватывая поток приложений.
Устанавливайте приложения только из надежных и проверенных источников, таких как магазин Google Play, и не храните на своем устройстве незашифрованные фотографии или скриншоты, содержащие конфиденциальную информацию. Если вы считаете, что у вас троянская версия Telegram или WhatsApp, вручную удалите ее со своего устройства и загрузите приложение либо из Google Play, либо непосредственно с легитимного сайта.
- советует tefanko.
Для Windows, если вы подозреваете, что ваше приложение Telegram является вредоносным, используйте решение безопасности, которое обнаружит угрозу и удалит ее для вас". Единственная официальная версия WhatsApp для Windows в настоящее время доступна в магазине Microsoft.
Комментарии
0 комментарий