ESET 研究人员已经确定了 WhatsApp 和 Telegram 应用程序的木马化版本,以及专门针对 Android 和 Windows 用户的即时消息应用程序的数十个山寨网站。 大多数检测到的恶意软件都是 clipper,这是一种窃取或更改剪贴板内容的恶意软件。 所有有问题的软件都试图窃取受害者的加密货币,而有些则针对加密货币钱包。 ESET Research 首次检测到专门针对即时消息应用程序的基于 Android 的剪辑软件。 此外,其中一些应用程序使用光学字符识别 (OCR) 从保存在受损设备上的屏幕截图中提取文本。 这是基于 Android 的恶意软件的又一首创。
“诈骗者正试图通过即时通讯应用程序获取加密货币钱包”
对模仿应用程序中使用的语言进行检查后发现,使用这些软件的人特别针对说中文的用户。 由于 Telegram 和 WhatsApp 分别于 2015 年和 2017 年在中国被禁止,因此想要使用这些应用程序的人不得不采取间接手段。 有问题的威胁行为者首先是假的。 YouTube 他设置了 Google Ads,将用户重定向到他们的频道,然后将用户重定向到模仿 Telegram 和 WhatsApp 的网站。 ESET Research 不会删除这些虚假广告和相关 YouTube 向谷歌报告其渠道,谷歌立即停止使用所有这些广告和渠道。
检测到木马伪装应用程序的 ESET 研究员 Lukáš Štefanko 说:
“我们检测到的 Clipper 软件的主要目的是捕获受害者的消息,并将发送和接收的加密货币钱包地址替换为攻击者的地址。 除了木马伪装的基于 Android 的 WhatsApp 和 Telegram 应用程序,我们还检测到相同应用程序的木马隐藏 Windows 版本。”
这些应用程序的木马伪装版本具有不同的功能,尽管它们的用途相同。 经审查的基于 Android 的 clipper 软件是第一个基于 Android 的恶意软件,它使用 OCR 从存储在受害者设备上的屏幕截图和照片中读取文本。 OCR 用于查找和播放关键短语。 关键短语是助记码,一组用于恢复加密货币钱包的单词。 一旦恶意行为者掌握了关键词,他们就可以直接窃取相应钱包中的所有加密货币。
恶意软件将受害者的加密货币钱包地址发送给攻击者。 sohbet 将其替换为地址。 它使用直接在程序中或从攻击者的服务器动态获取的地址来执行此操作。 此外,该软件还监控 Telegram 消息以检测与加密货币相关的特定关键字。 一旦软件检测到这样的关键字,它就会将整个消息转发到攻击者的服务器。
ESET Research 检测到基于 Windows 的 Telegram 和 WhatsApp 安装程序包含远程访问木马 (RAT),以及这些钱包地址修改软件的 Windows 版本。 根据应用程序模型,发现其中一个基于Windows的恶意包不是clipper软件,而是可以完全控制受害者系统的RAT。 因此,这些 RAT 可以在不拦截应用程序流的情况下窃取加密货币钱包。
Lukas Stefanko 在这方面给出了以下建议:
“仅安装来自可信和可靠来源的应用程序,例如 Google Play 商店,不要在您的设备上存储包含重要信息的未加密图片或屏幕截图。 如果您认为您的设备上有木马伪装的 Telegram 或 WhatsApp 应用程序,请从您的设备上手动卸载这些应用程序,然后从 Google Play 或直接从合法网站下载应用程序。 如果您怀疑基于 Windows 的设备上有恶意 Telegram 应用程序,请使用可检测并消除威胁的安全解决方案。 Windows 版 WhatsApp 的唯一官方版本目前可在微软商店购买。”