I ricercatori di ESET hanno trovato diversi siti web falsi di Telegram e WhatsApp, per lo più rivolti agli utenti Android e Windows con versioni “Tojanizzate” di questi servizi di messaggistica istantanea.
La maggior parte dei programmi dannosi che abbiamo trovato sono clipper, una classe di malware che prende o altera il contenuto della clipboard.
Tutti cercano di accaparrarsi i fondi bitcoin delle loro vittime, alcuni dei quali si concentrano sui portafogli di criptovalute. Non si erano mai osservati prima d’ora cutter Android concentrarsi solo sulla messaggistica istantanea.
Un’altra novità per il malware Android è il fatto che alcune di queste applicazioni utilizzano il riconoscimento ottico dei caratteri (OCR) per estrarre il testo dalle schermate salvate sui dispositivi infetti.
Indice dei contenuti
Le app malevole che ti svuotano il wallet di criptovalute tramite Telegram e Whatsapp
Alcuni clipper utilizzano il riconoscimento ottico dei caratteri per rubare le frasi di recupero dei portafogli bitcoin ed estrarre il contenuto dalle schermate. Insieme ai clipper, i ricercatori hanno scoperto anche trojan di accesso remoto (RAT) confezionati con versioni nefaste di WhatsApp e Telegram per Windows.
A causa della scoperta del primo clipper Android su Google Play prima della creazione dell’App Defense Alliance, Google ha migliorato la sicurezza di Android limitando le operazioni di clipboard a livello di sistema per le applicazioni che operano in background per le versioni Android 10 e successive.
La nostra ricerca più recente, purtroppo, dimostra che questo passo non ha eliminato completamente il problema, poiché non solo abbiamo individuato i clipper di messaggistica istantanea iniziali, ma anche numerosi gruppi di essi. L’obiettivo principale dei clipper che abbiamo trovato è intercettare il traffico di messaggi della vittima e scambiare gli indirizzi dei wallet di criptovalute trasmessi o ricevuti con quelli appartenenti agli aggressori. Oltre alle applicazioni Android infettate dal malware, abbiamo scoperto versioni Windows “trojanizzate” di WhatsApp e Telegram.
Un numero enorme di applicazioni colpite
Gli attori delle minacce devono utilizzare una strategia diversa per costruire versioni troianizzate di Telegram e WhatsApp a causa della loro diversa architettura. Poiché Telegram è un’applicazione open-source, modificare il suo codice mantenendo le funzioni di chat dell’app non è troppo difficile.
Inoltre, dal momento che il codice sorgente di WhatsApp non è pubblicamente accessibile, gli attori delle minacce hanno dovuto prima condurre un esame approfondito del funzionamento dell’applicazione per individuare i punti precisi da modificare prima di riconfezionare il programma con codice dannoso.
Le versioni “infette” di questi programmi offrono una serie di funzionalità aggiuntive pur svolgendo la stessa funzione generale. Abbiamo diviso le applicazioni in diversi gruppi in base a queste funzionalità per facilitare l’analisi e la spiegazione. In questo blog post, spiegheremo quattro gruppi di clipper Android e due gruppi di programmi Windows dannosi. Poiché dietro le applicazioni operano diversi attori delle minacce, non ne parleremo in questa sede.
Cos’è un clipper e in che modo viene sfruttato dai criminali informatici
Tuttavia, prima di entrare nel dettaglio di questi cluster di app, cos’è un clipper e perché i criminali informatici dovrebbero utilizzarne uno? Un clipper è spesso definito come una programmazione dannosa che copia o altera il materiale negli appunti di una macchina nel contesto di un malware.
Poiché gli indirizzi dei portafogli di criptovalute online sono costituiti da lunghe stringhe di caratteri e gli utenti spesso copiano e incollano gli indirizzi utilizzando la clipboard anziché inserirli, i clipper sono interessanti per i truffatori che cercano di rubare bitcoin. Questo può essere sfruttato da un clipper catturando le informazioni negli appunti e cambiando di nascosto gli indirizzi dei portafogli di criptovalute con quelli a cui i criminali hanno accesso.
Si tratta del primo caso di malware Android che impiega l’OCR per scansionare il testo da schermate e fotografie memorizzate sul dispositivo della vittima si trova nel Cluster 1 dei Cutter Android. L’OCR viene utilizzato per individuare e rubare una frase seed. Ovvero una stringa di parole utilizzata come codice mnemonico per recuperare i portafogli bitcoin. Quando gli attori malintenzionati dispongono di una frase Seed, possono accedere immediatamente al portafoglio collegato e prendere tutto il denaro.
Altre tecniche di attacco
Il Cluster 2 utilizza una tecnologia molto meno sofisticata del Cluster 1, il che ne facilita l’utilizzo. Nelle conversazioni via chat, questo malware sostituisce semplicemente l’indirizzo dell’aggressore con quello del portafoglio di criptovalute della vittima. Gli indirizzi sono codificati o recuperati dinamicamente dal server dell’aggressore. L’unico cluster Android in cui abbiamo scoperto campioni di Telegram e WhatsApp troianizzati è stato questo.
Il cluster 3 tiene d’occhio alcuni termini relativi alle criptovalute nelle conversazioni di Telegram. Se il virus rileva tali termini, invia l’intero messaggio al server dell’aggressore.
I clipper Android del Cluster 4 rubano anche i dati interni di Telegram e le informazioni fondamentali del dispositivo. Oltre a modificare l’indirizzo del portafoglio della vittima.