Pozor, ak používate WhatsApp alebo Telegram
ESET odhalil desiatky škodlivých verzií! Toto kradnú používateľom.
Výskumníci spoločnosti ESET objavili desiatky napodobenín webových stránok aplikácií Telegram a WhatsApp, ktoré sa zameriavajú najmä na používateľov platforiem Android a Windows. Skompromitované verzie týchto aplikácií využívajú útočníci na krádež kryptomien.
Väčšina identifikovaných škodlivých aplikácií obsahuje clippery, teda typ malvéru, ktorý kradne alebo upravuje obsah clipboardu (schránka, v ktorej sa nachádza súbor po skopírovaní).
Všetky clippery idú po finančných prostriedkoch obetí v kryptomenách, pričom viaceré sa zameriavajú na kryptopeňaženky. Ide o prvý prípad, keď ESET zaznamenal Android clippery špecificky sa zameriavajúce na chatovacie aplikácie.
Niektoré z týchto aplikácií navyše využívajú optické rozpoznávanie znakov (OCR) na identifikovanie textu zo snímok obrazovky uložených v napadnutých zariadeniach. Ide o ďalšiu prvýkrát pozorovanú schopnosť Android malvéru.
Reklamy na Google používateľov naviedli na podvodné YouTube kanály
Na základe jazyka použitého v napodobeninách aplikácií sa zdá, že útočníci, ktorí za nimi stoja, sa zameriavajú najmä na čínsky hovoriacich používateľov. Keďže služby Telegram aj WhatsApp sú v Číne už niekoľko rokov blokované, ľudia, ktorí chcú tieto aplikácie používať, ich musia získať cez neoficiálne distribučné kanály.
V prvom kroku útočníci vytvorili reklamy na Google, ktoré používateľov naviedli na podvodné YouTube kanály. Tie následne presmerovali návštevníkov na falošné webové stránky Telegram a WhatsApp. ESET okamžite nahlásil podvodné reklamy a súvisiace YouTube kanály spoločnosti Google, ktorá ich všetky okamžite zrušila.
"Hlavným účelom objavených clipperov je zachytávať komunikáciu obete prostredníctvom správ a nahradiť všetky odoslané a prijaté adresy peňaženiek s kryptomenami adresami, ktoré patria útočníkom. Okrem skompromitovaných verzií aplikácií WhatsApp a Telegram pre Android sme našli aj škodlivé verzie tých istých aplikácií pre Windows,"
Napriek tomu, že všeobecne slúžia na rovnaký účel, škodlivé verzie týchto aplikácií obsahujú rôzne ďalšie funkcie. Analyzované vzorky predstavujú prvý prípad škodlivého softvéru pre Android, ktorý využíva optické rozpoznávanie znakov na čítanie textu zo snímok obrazovky a fotografií uložených v zariadení obete.
Optické rozpoznávanie znakov sa nasadzuje s cieľom nájsť a ukradnúť počiatočnú „seed“ frázu, čo je mnemotechnický kód zložený zo série slov používaných na obnovu kryptopeňaženiek. Keď sa útočníci dostanú k seed fráze, môžu ukradnúť všetky kryptomeny priamo z príslušnej peňaženky.
V inom prípade malvér zas jednoducho vymení v chatovej komunikácii adresu peňaženky s kryptomenami obete za adresu útočníka, pričom adresy sú buď pevne nakódované, alebo dynamicky načítané zo servera útočníka. V ďalšom prípade škodlivý softvér monitoruje komunikáciu v službe Telegram na určité kľúčové slová týkajúce sa kryptomien. Po rozpoznaní takéhoto kľúčového slova malvér odošle celú správu na server útočníka.
ESET našiel aj Windows verzie clipperov na výmenu kryptopeňaženiek a inštalačné súbory Telegramu a WhatsAppu pre Windows spojené s trojanmi pre vzdialený prístup (RAT). V jednom prípade nie je škodlivý balík pre Windows zložený z clipperov, ale z trojanov pre vzdialený prístup, ktoré umožňujú úplnú kontrolu nad systémom obete. Týmto spôsobom trojany pre vzdialený prístup dokážu kradnúť kryptopeňaženky bez toho, aby zasahovali do fungovania aplikácie.
Využívajte len dôveryhodné zdroje
"Aplikácie inštalujte len z dôveryhodných a spoľahlivých zdrojov, ako je napríklad obchod Google Play, a neukladajte do svojho zariadenia nešifrované obrázky alebo snímky obrazovky obsahujúce citlivé informácie,"
Ak sa domnievate, že máte škodlivú verziu aplikácie Telegram alebo WhatsApp, ručne ju odstráňte zo svojho zariadenia. V prípade Windowsu, ak máte podozrenie na škodlivú aplikáciu Telegram, použite bezpečnostné riešenie, ktoré hrozbu odhalí a odstráni ju za vás.