Telegram ve WhatApp gibi anlık mesajlaşma uygulamalarına yönelik taklit web siteleri, truva atı haline getirilmiş sürümleri dağıtmak ve Android ve Windows kullanıcılarına kripto para birimi kesme kötü amaçlı yazılımı bulaştırmak için kullanılıyor.
ESET araştırmacıları Lukáš Štefanko ve Peter Strýček yeni bir analizde, “Hepsi, birkaç kripto para birimi cüzdanını hedefleyen kurbanların kripto para birimi fonlarının peşinde” dedi.
Clipper kötü amaçlı yazılımının Google Play Store’daki ilk örneğinin geçmişi 2019’a kadar gitse de, geliştirme, ilk kez Android tabanlı kötü amaçlı yazılımın anında mesajlaşma uygulamalarına yerleştirildiğini gösteriyor.
“Ayrıca, bu uygulamalardan bazıları, güvenliği ihlal edilmiş cihazlarda depolanan ekran görüntülerinden metinleri tanımak için optik karakter tanıma (OCR) kullanıyor, bu da Android kötü amaçlı yazılımları için bir başka ilk.”
Saldırı zinciri, hiçbir şeyden haberi olmayan kullanıcıların Google arama sonuçlarında yüzlerce yarım yamalak YouTube kanalına götüren ve ardından benzer Telegram ve WhatsApp web sitelerine yönlendiren sahte reklamları tıklamasıyla başlar.
Clipper kötü amaçlı yazılımının en son partisiyle ilgili yeni olan şey, bir kurbanın sohbetlerini yakalayabilmesi ve gönderilen ve alınan kripto para cüzdanı adreslerini tehdit aktörleri tarafından kontrol edilen adreslerle değiştirebilmesidir.
Clipper kötü amaçlı yazılımının başka bir kümesi, Android’de ML Kit adlı yasal bir makine öğrenimi eklentisinden yararlanarak, böylece cüzdanları boşaltmayı mümkün kılarak, tohum ifadeleri bulmak ve çalmak için OCR’yi kullanır.
Üçüncü bir küme, kripto para birimleriyle ilgili hem sabit kodlanmış hem de bir sunucudan alınan belirli Çince anahtar kelimeler için Telegram konuşmalarını takip etmek ve eğer öyleyse, kullanıcı adı, grup veya kanal adıyla birlikte mesajın tamamını dışarı sızdırmak için tasarlanmıştır. bir uzak sunucu.
Son olarak, dördüncü bir Android kesme makinesi seti, cüzdan adresini değiştirmenin yanı sıra cihaz bilgilerini ve mesajlar ve kişiler gibi Telegram verilerini toplama özelliklerine sahiptir.
Hileli Android APK paket adları aşağıda listelenmiştir –
- org.telegram.messenger
- org.telegram.messenger.web2
- org.tgplus.messenger
- io.busniess.va.whatsapp
- com.whatsapp
ESET ayrıca, biri cüzdan adreslerini değiş tokuş etmek için tasarlanmış iki Windows kümesi ve virüslü ana bilgisayarların kontrolünü ele geçirmek ve kripto hırsızlığı gerçekleştirmek için uzaktan erişim truva atlarını (RAT’ler) dağıtan ikinci bir grup bulduğunu söyledi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Analiz edilen tüm RAT örnekleri, yürütülmesi sırasında daha fazla analiz karşıtı çalışma zamanı kontrolleri kullanan ve sunucusuyla iletişim kurmak için HP soket kitaplığını kullanan biri hariç, halka açık Gh0st RAT’a dayalıdır.
Ayrıca, bu kümelerin, benzer bir işleyiş biçimini takip etmelerine rağmen, muhtemelen farklı tehdit aktörleri tarafından geliştirilen farklı faaliyet kümelerini temsil ettiğini belirtmekte fayda var.
Kampanya, geçen yıl ortaya çıkan benzer bir kötü amaçlı siber operasyon gibi, Çince konuşan kullanıcılara yöneliktir ve esas olarak ülkede hem Telegram hem de WhatsApp’ın engellenmiş olmasından hareketle motive edilir.
Araştırmacılar, “Bu hizmetleri kullanmak isteyenler, onları elde etmenin dolaylı yollarına başvurmak zorunda” dedi. “Şaşırtıcı olmayan bir şekilde, bu, siber suçluların durumu kötüye kullanması için olgun bir fırsat oluşturuyor.”