Az ESET kutatói a WhatsApp és a Telegram alkalmazások trójai verzióit, valamint több tucat másolt webhelyet azonosítottak az azonnali üzenetküldő alkalmazásokhoz, amelyek kifejezetten Android és Windows felhasználókat céloznak meg. Az észlelt rosszindulatú programok többsége a clipper, egy olyan típusú rosszindulatú program, amely ellopja vagy módosítja a vágólap tartalmát. Az összes szóban forgó szoftver megpróbálja ellopni az áldozatok kriptovalutáit, míg néhányan a kriptovaluta pénztárcákat célozzák meg. Az ESET Research most először észlelt Android-alapú vágószoftvert, amely kifejezetten az azonnali üzenetküldő alkalmazásokat célozza meg. Ezen kívül néhány ilyen alkalmazás optikai karakterazonosítót (OCR) használ a szöveg kinyerésére a feltört eszközökön mentett képernyőképekből. Ez egy másik első lépés az Android-alapú rosszindulatú programok esetében.
„A csalók azonnali üzenetküldő alkalmazásokon keresztül próbálják meg elfoglalni a kriptovaluta pénztárcákat”
Az utánzóalkalmazásokban használt nyelv vizsgálatakor kiderült, hogy a szoftvereket használók különösen a kínaiul beszélő felhasználókat célozták meg. Mivel Kínában 2015 és 2017 óta a Telegram és a WhatsApp is be van tiltva, azoknak, akik használni akarták ezeket az alkalmazásokat, közvetett eszközökhöz kellett folyamodniuk. A szóban forgó fenyegetés szereplői mindenekelőtt hamisak. YouTube Beállította a Google Ads szolgáltatást, amely átirányítja a felhasználókat a csatornáikra, majd átirányítja a felhasználókat a Telegram és WhatsApp webhelyek másolására. Az ESET Research nem távolítja el ezeket a hamis és kapcsolódó hirdetéseket YouTube bejelentette csatornáit a Google-nak, és a Google azonnal megszüntette mindezen hirdetések és csatornák használatát.
Lukáš Štefanko, az ESET kutatója, aki trójainak álcázott alkalmazásokat észlelt, elmondta:
„Az általunk észlelt vágószoftver fő célja, hogy rögzítse az áldozat üzeneteit, és lecserélje a küldött és fogadott kriptovaluta pénztárca címeket a támadó címére. A trójainak álcázott Android-alapú WhatsApp és Telegram alkalmazások mellett ugyanezen alkalmazások trójai rejtett Windows-verzióit is észleltük.”
Ezeknek az alkalmazásoknak a trójainak álcázott verziói eltérő funkciókkal rendelkeznek, bár ugyanazt a célt szolgálják. A felülvizsgált Android-alapú vágószoftver az első olyan Android-alapú kártevő, amely OCR-t használ az áldozat eszközén tárolt képernyőképek és fotók szövegének olvasására. Az OCR a kulcsmondat megtalálására és lejátszására szolgál. A kulcskifejezés egy mnemonikus kód, a kriptovaluta pénztárcák visszaszerzésére használt szavak halmaza. Amint a rosszindulatú szereplők kézhez kapják a kulcsmondatot, közvetlenül ellophatják az adott pénztárcában lévő összes kriptovalutát.
A rosszindulatú program elküldi az áldozat kriptovaluta pénztárca címét a támadónak. sohbet a címre cseréli. Ezt a programban közvetlenül, vagy a támadó szerverétől dinamikusan kapott címekkel teszi. Ezenkívül a szoftver figyeli a Telegram üzeneteit, hogy felismerje a kriptovalutákkal kapcsolatos konkrét kulcsszavakat. Amint a szoftver észlel egy ilyen kulcsszót, a teljes üzenetet továbbítja a támadó szerverére.
Az ESET Research távoli hozzáférésű trójai programokat (RAT) tartalmazó Windows-alapú Telegram- és WhatsApp-telepítőket, valamint ezeknek a pénztárcacím-módosító vágószoftvereknek a Windows-verzióit észlelte. Az alkalmazásmodell alapján kiderült, hogy az egyik Windows-alapú rosszindulatú csomag nem clipper szoftver volt, hanem RAT-ok, amelyek teljes mértékben átvehetik az irányítást az áldozat rendszere felett. Így ezek a RAT-ok kriptovaluta pénztárcákat lophatnak el anélkül, hogy megzavarnák az alkalmazásfolyamot.
Lukas Stefanko a következő tanácsot adta ezzel kapcsolatban:
„Csak megbízható és megbízható forrásokból telepítsen alkalmazásokat, például a Google Play Áruházból, és ne tároljon titkosítatlan képeket vagy képernyőképeket az eszközén, amelyek fontos információkat tartalmaznak. Ha úgy gondolja, hogy trójai álcázott Telegram vagy WhatsApp alkalmazás van az eszközén, manuálisan távolítsa el ezeket az alkalmazásokat eszközéről, és töltse le az alkalmazást a Google Playről vagy közvetlenül a hivatalos webhelyről. Ha gyanítja, hogy rosszindulatú Telegram-alkalmazás található Windows-alapú eszközén, használjon olyan biztonsági megoldást, amely észleli és eltávolítja a fenyegetést. A WhatsApp for Windows egyetlen hivatalos verziója jelenleg elérhető a Microsoft áruházban.”