Los investigadores de ESET identificaron versiones troyanizadas de las aplicaciones WhatsApp y Telegram, así como docenas de sitios web imitadores de esas aplicaciones de mensajería instantánea dirigidas específicamente a usuarios de Android y Windows. La mayor parte del malware detectado es clipper, un tipo de malware que roba o altera el contenido del portapapeles. Todo el software en cuestión intenta robar las criptomonedas de las víctimas, mientras que algunos apuntan a las billeteras de criptomonedas. Por primera vez, ESET Research ha detectado un software clipper basado en Android que apunta específicamente a las aplicaciones de mensajería instantánea. Además, algunas de estas aplicaciones usan identificación óptica de caracteres (OCR) para extraer texto de capturas de pantalla guardadas en dispositivos comprometidos. Esta es otra primicia para el malware basado en Android.
"Los estafadores están tratando de apoderarse de billeteras de criptomonedas a través de aplicaciones de mensajería instantánea"
Cuando se examinó el idioma utilizado en las aplicaciones de imitación, se reveló que las personas que usaban este software se dirigían especialmente a los usuarios de habla china. Dado que Telegram y WhatsApp están prohibidos en China desde 2015 y 2017, respectivamente, las personas que querían usar estas aplicaciones tenían que recurrir a medios indirectos. Los actores de amenazas en cuestión son, en primer lugar, falsos. YouTube Configuró Google Ads, que redirige a los usuarios a sus canales y luego los redirige a los sitios web imitadores de Telegram y WhatsApp. ESET Research no elimina estos anuncios falsos y YouTube informó sus canales a Google, y Google inmediatamente dejó de usar todos estos anuncios y canales.
El investigador de ESET Lukáš Štefanko, que detectó aplicaciones disfrazadas de troyanos, dijo:
“El propósito principal del software clipper que detectamos es capturar los mensajes de la víctima y reemplazar las direcciones de billetera de criptomonedas enviadas y recibidas con las direcciones del atacante. Además de las aplicaciones WhatsApp y Telegram basadas en Android disfrazadas de troyanos, también detectamos versiones de Windows ocultas por troyanos de las mismas aplicaciones”.
Las versiones disfrazadas de troyanos de estas aplicaciones tienen características diferentes, aunque tienen el mismo propósito. El software clipper basado en Android revisado es el primer malware basado en Android que usa OCR para leer texto de capturas de pantalla y fotos almacenadas en el dispositivo de la víctima. OCR se utiliza para buscar y reproducir la frase clave. La frase clave es un código mnemotécnico, un conjunto de palabras que se utilizan para recuperar billeteras de criptomonedas. Tan pronto como los actores maliciosos obtienen la frase clave, pueden robar directamente todas las criptomonedas en la billetera respectiva.
El malware envía la dirección de la billetera de criptomonedas de la víctima al atacante. sohbet lo reemplaza con la dirección. Lo hace con direcciones ya sea directamente en el programa o obtenidas dinámicamente del servidor del atacante. Además, el software monitorea los mensajes de Telegram para detectar palabras clave específicas relacionadas con las criptomonedas. Tan pronto como el software detecta dicha palabra clave, reenvía el mensaje completo al servidor del atacante.
ESET Research ha detectado instaladores de Telegram y WhatsApp basados en Windows que contienen troyanos de acceso remoto (RAT), así como versiones de Windows de este software clipper que altera la dirección de la billetera. Según el modelo de la aplicación, se descubrió que uno de los paquetes maliciosos basados en Windows no era un software clipper, sino RAT que podían tomar el control completo del sistema de la víctima. Por lo tanto, estas RAT pueden robar billeteras de criptomonedas sin interceptar el flujo de la aplicación.
Lukas Stefanko dio el siguiente consejo al respecto:
“Instale aplicaciones solo de fuentes confiables y confiables, como Google Play Store, y no almacene imágenes o capturas de pantalla sin cifrar en su dispositivo que contengan información importante. Si cree que tiene una aplicación de WhatsApp o Telegram disfrazada de troyano en su dispositivo, desinstale manualmente estas aplicaciones de su dispositivo y descárguelas desde Google Play o directamente desde el sitio web legítimo. Si sospecha que tiene una aplicación de Telegram maliciosa en su dispositivo basado en Windows, use una solución de seguridad que detecte y elimine la amenaza. La única versión oficial de WhatsApp para Windows está actualmente disponible en la tienda de Microsoft”.