Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Opisi virusa, 17.03.2023, 12:30 PM

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preuzimanjem zaraženih aplikacija inficiraju svoje uređaje tzv. clipper malverima.

„Svi oni traže kriptovalute žrtava, a nekoliko njih cilja na novčanike za čuvanje kriptovaluta“, rekli su istraživači ESET-a Lukaš Štefanko i Peter Striček.

Prvi slučaj clipper malvera u Google Play prodavnici datira iz 2019. godine. Taj malver, nazvan Android/Clipper.C, koristio je činjenicu da korisnici kriptovaluta obično ne unose adrese svojih online novčanika ručno, već umesto da kucaju, imaju običaj da kopiraju adrese u privremenu memoriju (clipboard) gde malver zamenjuje adresu žrtve adresom napadača.

„Neke od ovih aplikacija koriste optičko prepoznavanje znakova (OCR) za prepoznavanje teksta sa skrinšotova sačuvanih na kompromitovanim uređajima, što je još jedna novina za Android malvere“, navodi se u izveštaju ESET-a.

Lanac napada počinje tako što korisnici kliknu na lažne oglase u rezultatima Google pretrage koji vode do stotina YouTube kanala, koji ih zatim usmeravaju na veb sajtove koji liče na zvanične veb sajtove Telegrama i WhatsAppa.

Ono što je novo u vezi sa najnovijom serijom klipera jeste to što su sposobni da presreću četove žrtava i zamene sve poslate i primljene adrese novčanika za kriptovalute adresama koje kontrolišu napadači.

Drugi klaster klipera koristi OCR za pronalaženje i krađu seed fraza pomoću legitimnog dodatka za mašinsko učenje ML Kit, što im omogućava da isprazne novčanike.

Treći klaster prati razgovore u Telegramu čekajući određene ključne reči koje se odnose na kriptovalute. Kada se prepozna takva ključna reč, malver šalje kompletnu poruku, zajedno sa korisničkim imenom, imenom grupe ili kanala, na server napadača.

Na kraju, četvrti set Android klipera može da promeni adrese novčanika, kao i da prikuplja informacije o uređaju i podatke Telegrama kao što su poruke i kontakti.

ESET je pronašao nekoliko lažnih Android APK paketa: org.telegram.messenger, org.telegram.messenger.web2, org.tgplus.messenger, io.busniess.va.whatsapp i com.whatsapp.

Istraživači su takođe pronašli dva Windows klastera, jedan koji je dizajniran za zamenu adresa novčanika i drugu grupu koja distribuira trojance za daljinski pristup (RAT) umesto klipera da bi stekla kontrolu nad zaraženim računarima i izvršila krađu kriptovaluta.

Ovi klasteri, uprkos tome što imaju sličan način rada, imaju različite aktivnosti zato što su delo različitih programera.

I ova kampanja je, kao i slična koja je primećena prošle godine, usmerena na korisnike koji govore kineski, verovatno zato što su Telegram i WhatsApp blokirani u ovoj zemlji pa „ljudi koji žele da koriste ove usluge moraju da pribegnu indirektnim sredstvima da ih dobiju“, rekli su istraživači. To je „prilika za sajber kriminalce da zloupotrebe situaciju.“

Ilustracija: Mariia Shalabaieva / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje