ESET-ovi raziskovalci so odkrili trojanske različice aplikacij WhatsApp in Telegram ter na desetine spletnih mest za posnemanje teh aplikacij za neposredno sporočanje, ki so posebej namenjene uporabnikom Android in Windows. Večina odkrite zlonamerne programske opreme je clipper, vrsta zlonamerne programske opreme, ki ukrade ali spremeni vsebino odložišča. Vsa zadevna programska oprema poskuša ukrasti kriptovalute žrtev, medtem ko so nekatere usmerjene v denarnice za kriptovalute. ESET Research je prvič zaznal programsko opremo za striženje, ki temelji na Androidu in je posebej namenjena aplikacijam za neposredno sporočanje. Poleg tega nekatere od teh aplikacij uporabljajo optično identifikacijo znakov (OCR) za pridobivanje besedila iz posnetkov zaslona, shranjenih v ogroženih napravah. To je še ena prva za zlonamerno programsko opremo, ki temelji na sistemu Android.
"Prevaranti poskušajo zaseči denarnice za kriptovalute prek aplikacij za takojšnje sporočanje"
Ko je bil preučen jezik, uporabljen v aplikacijah za posnemanje, je bilo ugotovljeno, da so ljudje, ki uporabljajo to programsko opremo, ciljali predvsem na kitajsko govoreče uporabnike. Ker sta Telegram in WhatsApp na Kitajskem prepovedana od leta 2015 oziroma 2017, so se morali ljudje, ki so želeli uporabljati ti aplikaciji, zateči k posrednim sredstvom. Zadevni akterji groženj so najprej lažni. YouTube Vzpostavil je Google Ads, ki uporabnike preusmeri na njihove kanale, nato pa uporabnike preusmeri na posnemana spletna mesta Telegram in WhatsApp. ESET Research teh lažnih oglasov in povezanih oglasov ne odstrani YouTube svoje kanale prijavil Googlu, Google pa je takoj prekinil uporabo vseh teh oglasov in kanalov.
ESET-ov raziskovalec Lukáš Štefanko, ki je odkril aplikacije, prikrite s trojanskimi konjami, je dejal:
»Glavni namen programske opreme clipper, ki smo jo odkrili, je zajeti sporočila žrtve in zamenjati poslane in prejete naslove denarnice za kriptovalute z naslovi napadalca. Poleg trojansko prikritih aplikacij WhatsApp in Telegram, ki temeljijo na Androidu, smo zaznali tudi trojansko skrite različice Windows istih aplikacij.«
Različice teh aplikacij, preoblečene v trojance, imajo različne funkcije, čeprav služijo istemu namenu. Pregledana programska oprema za striženje, ki temelji na Androidu, je prva zlonamerna programska oprema, ki temelji na Androidu in uporablja OCR za branje besedila s posnetkov zaslona in fotografij, shranjenih v napravi žrtve. OCR se uporablja za iskanje in predvajanje ključne fraze. Ključna besedna zveza je mnemonična koda, niz besed, ki se uporabljajo za obnovitev denarnic za kriptovalute. Takoj ko se zlonamerni akterji dokopajo do ključne fraze, lahko neposredno ukradejo vse kriptovalute v zadevni denarnici.
Zlonamerna programska oprema napadalcu pošlje naslov žrtvine denarnice za kriptovalute. sohbet ga nadomesti z naslovom. To počne z naslovi neposredno v programu ali dinamično pridobljenimi iz napadalčevega strežnika. Poleg tega programska oprema spremlja sporočila Telegram, da zazna specifične ključne besede, povezane s kriptovalutami. Takoj ko programska oprema zazna takšno ključno besedo, posreduje celotno sporočilo napadalčevemu strežniku.
ESET Research je odkril namestitvene programe Telegram in WhatsApp, ki temeljijo na sistemu Windows, ki vsebujejo trojance za oddaljeni dostop (RAT), ter različice Windows te programske opreme za striženje naslovov denarnice. Na podlagi modela aplikacije je bilo odkrito, da eden od zlonamernih paketov, ki temeljijo na operacijskem sistemu Windows, ni programska oprema za striženje, temveč RAT, ki lahko prevzame popoln nadzor nad sistemom žrtve. Tako lahko ti RAT-ji ukradejo denarnice za kriptovalute, ne da bi prestregli tok aplikacije.
Lukas Stefanko je v zvezi s tem dal naslednji nasvet:
»Nameščajte aplikacije samo iz zaupanja vrednih in zanesljivih virov, kot je trgovina Google Play, in v napravi ne shranjujte nešifriranih slik ali posnetkov zaslona, ki vsebujejo pomembne informacije. Če menite, da imate v napravi aplikacijo Telegram ali WhatsApp, prikrito s trojancem, te aplikacije ročno odstranite iz naprave in prenesite aplikacijo bodisi iz Google Play ali neposredno z zakonitega spletnega mesta. Če sumite, da imate v napravi s sistemom Windows zlonamerno aplikacijo Telegram, uporabite varnostno rešitev, ki zazna in odstrani grožnjo. Edina uradna različica WhatsApp za Windows je trenutno na voljo v Microsoftovi trgovini.«