Οι ερευνητές της ESET εντόπισαν τρωανοποιημένες εκδόσεις εφαρμογών WhatsApp και Telegram, καθώς και δεκάδες ιστοτόπους αντιγραφής για εκείνες τις εφαρμογές άμεσων μηνυμάτων που στοχεύουν συγκεκριμένα χρήστες Android και Windows. Το μεγαλύτερο μέρος του κακόβουλου λογισμικού που εντοπίστηκε είναι το Clipper, ένας τύπος κακόβουλου λογισμικού που κλέβει ή αλλάζει τα περιεχόμενα του προχείρου. Όλο το εν λόγω λογισμικό προσπαθεί να κλέψει τα κρυπτονομίσματα των θυμάτων, ενώ ορισμένα στοχεύουν πορτοφόλια κρυπτονομισμάτων. Για πρώτη φορά, η ESET Research εντόπισε λογισμικό clipper που βασίζεται σε Android που στοχεύει ειδικά εφαρμογές ανταλλαγής άμεσων μηνυμάτων. Επίσης, ορισμένες από αυτές τις εφαρμογές χρησιμοποιούν οπτική αναγνώριση χαρακτήρων (OCR) για την εξαγωγή κειμένου από στιγμιότυπα οθόνης που είναι αποθηκευμένα σε παραβιασμένες συσκευές. Αυτή είναι μια άλλη πρώτη για κακόβουλο λογισμικό που βασίζεται σε Android.
«Οι απατεώνες προσπαθούν να αρπάξουν πορτοφόλια κρυπτονομισμάτων μέσω εφαρμογών άμεσων μηνυμάτων»
Όταν εξετάστηκε η γλώσσα που χρησιμοποιήθηκε στις εφαρμογές μίμησης, αποκαλύφθηκε ότι τα άτομα που χρησιμοποιούν αυτό το λογισμικό στόχευαν ιδιαίτερα χρήστες που μιλούσαν κινεζικά. Δεδομένου ότι τόσο το Telegram όσο και το WhatsApp έχουν απαγορευτεί στην Κίνα από το 2015 και το 2017, αντίστοιχα, τα άτομα που ήθελαν να χρησιμοποιήσουν αυτές τις εφαρμογές έπρεπε να καταφύγουν σε έμμεσα μέσα. Οι εν λόγω ηθοποιοί απειλών είναι πρώτα απ' όλα ψεύτικοι. YouTube Δημιούργησε το Google Ads, το οποίο ανακατευθύνει τους χρήστες στα κανάλια τους και, στη συνέχεια, ανακατευθύνει τους χρήστες να αντιγράψουν ιστότοπους του Telegram και του WhatsApp. Η ESET Research δεν αφαιρεί αυτές τις ψευδείς διαφημίσεις και συναφείς YouTube ανέφερε τα κανάλια της στην Google και η Google τερμάτισε αμέσως τη χρήση όλων αυτών των διαφημίσεων και καναλιών.
Ο ερευνητής της ESET Lukáš Štefanko, ο οποίος εντόπισε εφαρμογές μεταμφιεσμένες σε Trojan, είπε:
«Ο κύριος σκοπός του λογισμικού clipper που εντοπίσαμε είναι να καταγράψει τα μηνύματα του θύματος και να αντικαταστήσει τις απεσταλμένες και ληφθείσες διευθύνσεις πορτοφολιού κρυπτονομισμάτων με τις διευθύνσεις του εισβολέα. Εκτός από τις μεταμφιεσμένες σε trojan εφαρμογές WhatsApp και Telegram που βασίζονται σε Android, εντοπίσαμε επίσης κρυφές από trojan εκδόσεις Windows των ίδιων εφαρμογών».
Οι μεταμφιεσμένες με Trojan εκδόσεις αυτών των εφαρμογών έχουν διαφορετικά χαρακτηριστικά, αν και εξυπηρετούν τον ίδιο σκοπό. Το αναθεωρημένο λογισμικό clipper που βασίζεται σε Android είναι το πρώτο κακόβουλο λογισμικό που βασίζεται σε Android που χρησιμοποιεί το OCR για την ανάγνωση κειμένου από στιγμιότυπα οθόνης και φωτογραφίες που είναι αποθηκευμένες στη συσκευή του θύματος. Το OCR χρησιμοποιείται για να βρει και να παίξει τη φράση-κλειδί. Η φράση κλειδί είναι ένας μνημονικός κώδικας που αποτελείται από μια σειρά λέξεων που χρησιμοποιούνται για την ανάκτηση πορτοφολιών κρυπτονομισμάτων. Μόλις οι κακόβουλοι ηθοποιοί πιάσουν τη φράση κλειδί, μπορούν να κλέψουν απευθείας όλα τα κρυπτονομίσματα στο αντίστοιχο πορτοφόλι.
Το κακόβουλο λογισμικό στέλνει τη διεύθυνση του πορτοφολιού κρυπτονομίσματος του θύματος στον εισβολέα. sohbet το αντικαθιστά με τη διεύθυνση. Αυτό το κάνει με διευθύνσεις είτε απευθείας στο πρόγραμμα είτε λαμβάνονται δυναμικά από τον διακομιστή του εισβολέα. Επιπλέον, το λογισμικό παρακολουθεί τα μηνύματα του Telegram για να εντοπίσει συγκεκριμένες λέξεις-κλειδιά που σχετίζονται με κρυπτονομίσματα. Μόλις το λογισμικό εντοπίσει μια τέτοια λέξη-κλειδί, προωθεί ολόκληρο το μήνυμα στον διακομιστή του εισβολέα.
Η ESET Research εντόπισε προγράμματα εγκατάστασης Telegram και WhatsApp που βασίζονται σε Windows και περιέχουν trojans απομακρυσμένης πρόσβασης (RAT), καθώς και εκδόσεις Windows αυτών των λογισμικών περικοπής που αλλάζουν διεύθυνση πορτοφολιού. Με βάση το μοντέλο της εφαρμογής, ανακαλύφθηκε ότι ένα από τα κακόβουλα πακέτα που βασίζονται στα Windows δεν ήταν λογισμικό clipper, αλλά RAT που μπορούσαν να πάρουν τον πλήρη έλεγχο του συστήματος του θύματος. Έτσι, αυτοί οι RAT μπορούν να κλέψουν πορτοφόλια κρυπτονομισμάτων χωρίς να παρεμποδίσουν τη ροή της εφαρμογής.
Ο Λούκας Στεφάνκο έδωσε τις ακόλουθες συμβουλές σχετικά:
"Εγκαταστήστε εφαρμογές μόνο από αξιόπιστες και αξιόπιστες πηγές, όπως το Google Play Store, και μην αποθηκεύετε στη συσκευή σας μη κρυπτογραφημένες εικόνες ή στιγμιότυπα οθόνης που περιέχουν σημαντικές πληροφορίες. Εάν πιστεύετε ότι έχετε στη συσκευή σας μια εφαρμογή Telegram ή WhatsApp που έχει μεταμφιεστεί με Trojan, απεγκαταστήστε με μη αυτόματο τρόπο αυτές τις εφαρμογές από τη συσκευή σας και πραγματοποιήστε λήψη της εφαρμογής είτε από το Google Play είτε απευθείας από τον νόμιμο ιστότοπο. Εάν υποψιάζεστε ότι έχετε μια κακόβουλη εφαρμογή Telegram στη συσκευή σας που βασίζεται στα Windows, χρησιμοποιήστε μια λύση ασφαλείας που εντοπίζει και αφαιρεί την απειλή. Η μόνη επίσημη έκδοση του WhatsApp για Windows είναι προς το παρόν διαθέσιμη στο κατάστημα της Microsoft."