ESET siber güvenlik araştırmacıları, Clippers kötü amaçlı yazılımı dağıtan truva atı haline getirilmiş anlık mesajlaşma uygulamalarını keşfetti. Analizlerine göre, bu Android ve Windows tabanlı kesiciler, anlık mesajları kötüye kullanabilir ve OCR (optik karakter tanıma) yoluyla kripto cüzdan fonlarını çalabilir.
Clippers ilk kez anlık mesajlaşma uygulamaları kılığında keşfedildi.
Düzinelerce Sahte Mesajlaşma Uygulaması Keşfedildi
ESET araştırmacılarının paylaştığı bulgulara göre onlarca sahte Telegram ve WhatsApp web sitesi gün yüzüne çıktı. Bu web siteleri öncelikle Windows ve Android kullanıcılarını hedefliyor ve Clippers adı verilen pano içeriğini değiştiren bir tür kötü amaçlı yazılımla yüklenmiş Telegram ve WhatsApp anlık mesajlaşma uygulamalarının silahlı sürümlerini sunuyor.
Clippers ilk olarak Google Play Store’da keşfedildi 2019’dave şimdi mesajlaşma uygulamalarına yerleştirildiler.
Clippers nedir?
Clippers, bir cihazın pano içeriğini değiştirebilen ve en son kampanyada saldırganların kurbanlarının kripto para cüzdanlarına erişmesine yol açan, clipper kopyaları olarak da adlandırılan kötü amaçlı kodlara atıfta bulunur.
Bunun nedeni, çevrimiçi kripto para cüzdanlarının adreslerinin uzun karakter dizileri içermesi ve kullanıcıların bu adresleri girmek yerine genellikle pano aracılığıyla kopyalayıp/yapıştırmasıdır.
Clippers, metni tanıyabilir ve pano verilerini ele geçirerek ve cüzdan adreslerini suçluların erişebileceği adreslerle gizlice değiştirerek saldırganların kripto para çalmasına yardımcı olabilir.
“Clippers’ın temel amacı, kurbanın mesajlaşma iletişimlerini kesmek ve gönderilen ve alınan tüm kripto para birimi cüzdan adreslerini saldırganlara ait adreslerle değiştirmektir.”
ESET
Araştırmacılar Lukáš Štefanko ve Peter Strýček yazdı Clippers’ın esas olarak kripto para birimini çalmak için piyasaya sürüldüğünü ve birçoğunun kripto para cüzdanlarını hedefleyebileceğini. Bu uygulamalar, kullanıcının cihazda depoladığı ekran görüntülerinden metinleri tanımak için OCR’yi kullanır. Bu aynı zamanda bu tür bir taktik ilk kez kullanılıyor.
Kullanıcılar Nasıl Hedeflenir?
Clipper operatörleri son kampanyalarında Çince konuşan kullanıcıları hedefliyor. dağıtıyorlar Google Ads oluşturarak kötü amaçlı yazılım kullanıcıları, sahte WhatsApp ve Telegram web sitelerine yönlendirildikleri yerden sahte YouTube kanallarına çeken.
Bir kesme makinesi bir cihaza bulaştığında, tohum cümleleri bulmak ve çalmak için OCR’yi kullanır. Bunun için uygulamalar, Android’de ML Kit adlı meşru bir makine öğrenimi eklentisinden yararlanır.
Başka bir kesme makinesi kümesi, bir sunucudan alınan veya sabit kodlanmış Çin kripto para birimiyle ilgili anahtar kelimeler için Telegram konuşmalarını izler. Bulunursa, küme kanal adını, kullanıcı adını ve grup adını içeren tam mesajı uzak bir sunucuya sızdırır.
Dördüncü Android kesme makinesi kümesi, cüzdan adresini değiştirebilir ve cihaz verilerini ve kişiler ve mesajlar gibi Telegram verilerini çalabilir.
isimleri kötü amaçlı Android APK paketleri aşağıdaki gibidir:
- com.whatsapp
- org.tgplus.messenger
- org.telegram.messenger
- io.busniess.va.whatsapp
- org.telegram.messenger.web2
ESET ayrıca iki Windows kümesi keşfetti. Biri cüzdan adreslerini ve diğer dağıtılmış RAT’leri (uzaktan erişim truva atları), çoğu GH0st RAT’a dayalı olarak, virüs bulaşmış ana bilgisayarları ele geçirmek ve kripto çalmak için kesme makineleri yerine takas edebilir.”