WhatsApp i Telegram należą do najpopularniejszych komunikatorów, więc cyberprzestępcy nie ustają w wysiłkach, by wykorzystać je do wykradania ważnych danych. Nowa metoda ataku pozwala odczytywać nie tylko wiadomości użytkowników, ale nawet dane ze schowków i zrzutów ekranów.
Eksperci ESET poinformowali o nowym rodzaju ataku, który wymierzony jest w użytkowników komunikatorów WhatsApp i Telegram. Specjaliści odkryli dziesiątki witryn podszywających się pod oficjalne strony tych aplikacji, skąd nieświadomi użytkownicy pobierali zainfekowane wersje komunikatorów. Do ataku wykorzystano przede wszystkim tzw. clippery — rodzaj złośliwego oprogramowania, które kradnie lub modyfikuje zawartość schowka w trakcie czynności „kopiuj – wklej”.
Akcja była wymierzona w osoby posiadające fundusze kryptowalutowe, a niektóre z clipperów atakowały lokalne portfele kryptowalutowe, w których przechowuje się cyfrowe klucze do transakcji. Jednak ta metoda może być wykorzystana w przyszłości w innych scenariuszach. Specjaliści z firmy ESET określili ten rodzaj ataku jako „skomplikowany i nowatorski”.
Zobacz: WhatsApp? Sam jego szef przyznaje, że jest lepsza opcja
Specjaliści ESET poinformowali, że po raz pierwszy mieli do czynienia ze złośliwym oprogramowaniem typu clipper wymierzonym w użytkowników systemu Android i wbudowanym w komunikator internetowy. Co więcej, był to pierwszy znany im atak na użytkowników Androida, podczas którego wykorzystywano technologię OCR (ang. optical character recognition – pol. optyczne rozpoznawanie znaków) do rozpoznawania tekstu ze zrzutów ekranu przechowywanych na zainfekowanych urządzeniach.
Głównym celem zdemaskowanego przez nas mechanizmu było przechwytywanie wiadomości ofiar, związanych z transakcjami kryptowalutowymi. Oprócz zainfekowanych aplikacji WhatsApp i Telegram na Androida, znaleźliśmy również zainfekowane wersje tych samych aplikacji dla systemu Windows
– wyjaśnia badacz ESET, Lukáš Štefanko, który odkrył te aplikacje.
Różne wersje zmodyfikowanej złośliwej aplikacji miały także dodatkowe funkcje. Jednym z wykorzystywanych mechanizmów było zmienianie przez złośliwe oprogramowanie adresu portfela kryptowalut ofiary na adres atakującego. Działo się to w trakcie rozmowy za pośrednictwem komunikatora.
W jeszcze innym przypadku złośliwe oprogramowanie monitorowało konwersacje na Telegramie pod kątem określonych słów kluczowych, związanych z kryptowalutami. Po rozpoznaniu takiego słowa wysyłało kompletną wiadomość użytkownika na serwer cyberprzestępców.
Badacze ESET odkryli również wersje złośliwych aplikacji atakujących użytkowników systemu Windows, a także zainfekowane wersje aplikacji w pakiecie z tzw. trojanami zdalnego dostępu (RAT – złośliwe oprogramowanie, kontrolujące system za pośrednictwem zdalnego połączenia sieciowego).
Z analizy ataku wynika, że cyberprzestępcy celowali przede wszystkim w użytkowników w Chinach. Dlaczego akurat w tym kraju? Telegram i WhatsApp nie są tam w ogóle dostępne w sklepach z aplikacjami, więc użytkownicy instalują komunikatory z innych źródeł. Cyberprzestępcy wykorzystali to, konfigurując reklamy Google Ads prowadzące do fałszywych kanałów YouTube, które następnie kierowały widzów do witryn podszywających się pod Telegram i WhatsApp.
Po zgłoszeniu fałszywych reklam i powiązanych z nimi kanałów Google natychmiast je zlikwidował. Eksperci ESET wyjaśniają, że cyberprzestępcy zadali sobie jednak wiele trudu, opracowując tak złożony i innowacyjny pod wieloma względami mechanizm ataku. Niewykluczone, że będzie on powtarzany i modyfikowany przez nich w przyszłości. Podstawową zasadą jest więc instalowanie takich i innych komunikatorów tylko ze sprawdzonych sklepów, jak Google Play, za to unikanie pobierania aplikacji z podejrzanych, mało znanych stron z instalatorami.
Zobacz: WhatsApp z nowością. To detal, ale kiedyś pewnie skorzystasz
Zobacz: WhatsApp porzuci numery telefonów. Przynajmniej częściowo
Źródło zdjęć: Shutterstock
Źródło tekstu: ESET
