Ang mga tigdukiduki sa ESET nakaila sa mga trojanized nga bersyon sa WhatsApp ug Telegram nga mga app, ingon man usab sa mga dosena nga copycat nga mga website alang niadtong mga instant messaging nga mga app nga espesipikong nagpunting sa mga tiggamit sa Android ug Windows. Kadaghanan sa namatikdan nga malware mao ang clipper, usa ka matang sa malware nga mangawat o mag-usab sa sulod sa clipboard. Ang tanan nga software sa pangutana misulay sa pagkawat sa mga biktima 'cryptocurrencies, samtang ang uban target cryptocurrency pitaka. Sa unang higayon, ang ESET Research nakamatikod sa Android-based clipper software nga espesipikong nagpunting sa instant messaging apps. Usab, ang pipila niini nga mga app naggamit og optical character identification (OCR) aron makuha ang teksto gikan sa mga screenshot nga gitipigan sa mga nakompromiso nga mga himan. Kini usa pa ka una alang sa malware nga nakabase sa Android.
"Ang mga scammer naningkamot sa pag-ilog sa mga pitaka sa cryptocurrency pinaagi sa instant messaging apps"
Sa dihang gisusi ang pinulongan nga gigamit sa imitasyon nga mga aplikasyon, gipadayag nga ang mga tawo nga naggamit niini nga software ilabinang nagpunting sa mga tiggamit nga nagsultig Intsik. Tungod kay ang Telegram ug WhatsApp gidili sa China sukad sa 2015 ug 2017, sa tinuud, ang mga tawo nga gusto mogamit niini nga mga app kinahanglan nga mogamit sa dili direkta nga paagi. Ang mga aktor sa hulga nga gipangutana una sa tanan peke. YouTube Gipahimutang niya ang Google Ads, nga nag-redirect sa mga tiggamit sa ilang mga channel, ug dayon gi-redirect ang mga tiggamit sa pagkopya sa mga website sa Telegram ug WhatsApp. Dili tangtangon sa ESET Research kining mga bakak nga paanunsiyo ug may kalabutan YouTube nagtaho sa mga channel niini ngadto sa Google, ug gitapos dayon sa Google ang paggamit niining tanan nga mga advertisement ug mga channel.
Ang tigdukiduki sa ESET nga si Lukáš Štefanko, nga nakamatikod sa mga aplikasyon nga nagtakuban sa Trojan, miingon:
"Ang panguna nga katuyoan sa software sa clipper nga among nakit-an mao ang pagkuha sa mga mensahe sa biktima ug ilisan ang gipadala ug nadawat nga mga adres sa pitaka sa cryptocurrency sa mga adres sa tig-atake. Gawas sa mga trojan-disguised nga Android-based nga WhatsApp ug Telegram nga mga app, nakit-an usab namo ang mga bersyon sa Windows nga gitago sa trojan sa parehas nga mga app.
Ang mga bersyon nga nagtakuban sa Trojan sa kini nga mga app adunay lainlaing mga bahin, bisan kung nagsilbi sila sa parehas nga katuyoan. Ang gisusi nga Android-based clipper software mao ang unang Android-based nga malware nga migamit sa OCR sa pagbasa sa text gikan sa mga screenshot ug mga litrato nga gitipigan sa device sa biktima. Ang OCR gigamit sa pagpangita ug pagdula sa yawe nga hugpong sa mga pulong. Ang yawe nga hugpong sa mga pulong usa ka mnemonic code, usa ka hugpong sa mga pulong nga gigamit aron mabawi ang mga pitaka sa cryptocurrency. Sa diha nga ang mga malisyosong aktor makakupot sa yawe nga hugpong sa mga pulong, sila direkta nga makawat sa tanan nga mga cryptocurrencies sa tagsa-tagsa nga pitaka.
Gipadala sa malware ang address sa pitaka nga cryptocurrency sa biktima ngadto sa tig-atake. sohbet ilisan kini sa adres. Gihimo kini niini sa mga adres direkta sa programa o dinamikong nakuha gikan sa server sa tig-atake. Dugang pa, gimonitor sa software ang mga mensahe sa Telegram aron makit-an ang piho nga mga keyword nga may kalabotan sa mga cryptocurrencies. Sa diha nga ang software makamatikod sa ingon nga usa ka keyword, kini ipasa ang tibuok nga mensahe ngadto sa tig-atake sa server.
Nakit-an sa ESET Research ang mga installer sa Telegram ug WhatsApp nga nakabase sa Windows nga adunay mga remote access trojans (RATs), ingon man mga bersyon sa Windows niining wallet address-altering clipper software. Base sa modelo sa aplikasyon, nadiskobrehan nga ang usa sa mga malisyosong pakete nga nakabase sa Windows dili clipper software, kondili mga RAT nga makakontrol sa sistema sa biktima. Sa ingon, kini nga mga RAT mahimong mangawat sa mga pitaka sa cryptocurrency nga dili makabalda sa dagan sa aplikasyon.
Gihatag ni Lukas Stefanko ang mosunod nga tambag bahin niini:
“Pag-instalar lang ug mga app gikan sa kasaligan ug kasaligang tinubdan, sama sa Google Play Store, ug ayaw pagtago ug wala ma-encrypt nga mga hulagway o mga screenshot sa imong device nga adunay importanteng impormasyon. Kung sa imong hunahuna adunay usa ka Trojan-disguised Telegram o WhatsApp nga aplikasyon sa imong aparato, mano-mano nga i-uninstall kini nga mga aplikasyon gikan sa imong aparato ug i-download ang aplikasyon gikan sa Google Play o direkta gikan sa lehitimong website. Kung nagduda ka nga naa kay malisyoso nga Telegram app sa imong device nga nakabase sa Windows, gamita ang solusyon sa seguridad nga makamatikod ug makatangtang sa hulga. Ang bugtong opisyal nga bersyon sa WhatsApp alang sa Windows anaa karon sa tindahan sa Microsoft.