Desetine web stranica postavljenih za isporuku trojanizovanih verzija aplikacija WhatsApp i Telegram uočene su i usmjerene na korisnike Android-a i Windows-a.
Kako su otkrili istraživači bezbjednosti u ESET-u, većina ovih aplikacija se oslanja na maliciozni clipper softver dizajniran da ukrade ili modifikuje sadržaj Android međuspremnika.
“Svi oni traže sredstva za kriptovalute žrtava, s nekoliko ciljanih novčanika za kriptovalute. Ovo je bio prvi put da smo vidjeli Android clipper-e koji se posebno fokusiraju na razmjenu trenutnih poruka” napisali su istraživači malicioznog softvera ESET-a Lukas Stefanko i Peter Strýček u savjetovanju u četvrtak.
„Štaviše, neki od clipper-a su zloupotrebili OCR (optičko prepoznavanje karaktera) da bi izvukli mnemoničke fraze iz slika sačuvanih na uređajima žrtava, što je maliciozna upotreba tehnologije čitanja sa ekrana koju smo videli po prvi put.”
Istraživači kibernetičke bezbjednosti su takođe rekli da su pronašli Windows verzije clipper-a za prebacivanje novčanika, zajedno sa instalaterima Telegram-a i WhatsApp-a za Windows, prepune trojanaca za daljinski pristup (RAT).
“Kroz svoje različite module, RAT-ovi omogućavaju napadačima kontrolu nad mašinama žrtava.”
Sa tehničkog stanovišta, Stefanko i Strýček su objasnili da je trojanizacija Telegram-a relativno jednostavan zadatak za hakere, budući da je kod aplikacije open source.
“S druge strane, izvorni kod WhatsApp-a nije javno dostupan, što znači da su prije prepakovanja aplikacije sa malicioznim kodom, hakeri prvo morali izvršiti dubinsku analizu funkcionalnosti aplikacije kako bi identifikovali konkretna mjesta koja treba modifikovati” stoji u ESET-ovom savjetu.
Što se tiče žrtava, istraživači malicioznog softvera su rekli da su trojanizovane verzije aplikacija WhatsApp i Telegram uglavnom ciljale korisnike koji govore kineski.
„Zato što su i Telegram i WhatsApp blokirani u Kini već nekoliko godina ljudi koji žele da koriste ove usluge moraju da pribegnu indirektnim sredstvima da ih dobiju“ napisali su Stefanko i Strýček. „Nije iznenađujuće da ovo predstavlja zrelu priliku za kibernetičke kriminalce da zloupotrebe situaciju.”
Proofpoint je nedavno otkrio zasebnu kampanju malicioznog softvera koja je takođe usmjerena na krađu kriptovaluta.
Izvor: Infosecurity Magazine