Тројанизираните верзии на популарните месинџери како Telegram или WhatsApp се нудат на лажните сајтови на корисниците на Android и Windows, кои со преземање на заразени апликации ги заразуваат своите уреди, т.н. clipper малвер.

„Сите тие бараат криптовалути на жртвите, а неколку од нив ги таргетираат паричниците за складирање криптовалути“, велат истражувачите на ESET Лукаш Стефанко и Петер Стричек.

Првиот случај на clipper малвер во продавницата на Google Play датира од 2019 година. Тој малициозен софтвер, наречен Android/Clipper.C, го искористи фактот што корисниците на криптовалути обично не ги внесуваат рачно адресите на нивните онлајн паричник, туку наместо да пишуваат, тие имаат тенденција да ги копираат адресите во привремена меморија (clipboard) каде што малициозен софтвер ја заменува адресата на жртвата со адресата на напаѓачот.

„Некои од овие апликации користат оптичко препознавање знаци (OCR) за да препознаат текст од слики од екранот зачувани на компромитирани уреди, што е уште една новина за малициозниот софтвер на Android“, се вели во извештајот на ESET.

Синџирот на напади започнува со тоа што корисниците кликнуваат на лажни реклами во резултатите од пребарувањето на Google кои водат до стотици канали на YouTube, кои потоа ги насочуваат кон веб-страниците кои изгледаат како официјалните веб-страници на Telegram и WhatsApp.

Она што е ново за најновата серија на clippers е тоа што тие се способни да ги пресретнуваат разговорите на жртвите и да ги заменат сите испратени и примени адреси на паричникот за криптовалути со адреси контролирани од напаѓачите.

Друг кластер на клиперс користи OCR за да пронајде и да украде seed на фрази користејќи го легитимниот приклучок за машинско учење ML Kit, овозможувајќи им да ги испразнат своите паричници.

Третиот кластер ги следи разговорите на Telegram чекајќи одредени клучни зборови поврзани со криптовалутите. Кога ќе се препознае таков клучен збор, малициозниот софтвер ја испраќа целосната порака, заедно со корисничкото име, групата или името на каналот, до серверот на напаѓачот.

Конечно, четвртиот сет на Android Clippers може да ги менува адресите на паричникот, како и да собира информации за уредот и податоци од Telegram, како што се пораки и контакти.

ESET пронајде неколку лажни Android APK пакети: org.telegram.messenger, org.telegram.messenger.web2, org.tgplus.messenger, io.busniess.va.whatsapp и com.whatsapp.

Истражувачите пронајдоа и две кластери на Windows, едната дизајнирана да ги замени адресите на паричникот и другата група која дистрибуира тројанци со далечински пристап (RAT) наместо клиперите за да добие контрола врз заразените компјутери и да краде криптовалути.

Овие кластери, и покрај тоа што имаат сличен начин на работа, имаат различни активности бидејќи се дело на различни програмери.

И оваа кампања, како слична забележана минатата година, е наменета за корисниците што зборуваат кинески, веројатно затоа што Telegram и WhatsApp се блокирани во оваа земја, па „луѓето кои сакаат да ги користат овие услуги мора да прибегнуваат кон индиректни средства за да ги добијат“, велат истражувачите. Тоа е „можност за сајбер-криминалците да ја злоупотребат ситуацијата“.