Los sitios web imitadores de aplicaciones de mensajería instantánea como Telegram y WhatApp se están utilizando para distribuir versiones troyanas e infectar a los usuarios de Android y Windows con el malware cryptocurrency clipper .
«Todos ellos buscan los fondos de criptomonedas de las víctimas, y varios apuntan a las billeteras de criptomonedas», dijeron los investigadores de ESET Lukáš Štefanko y Peter Strýček en un nuevo análisis.
Si bien la primera instancia de malware clipper en Google Play Store se remonta a 2019, el desarrollo marca la primera vez que el malware clipper basado en Android se integra en aplicaciones de mensajería instantánea.
«Además, algunas de estas aplicaciones utilizan el reconocimiento óptico de caracteres (OCR) para reconocer el texto de las capturas de pantalla almacenadas en los dispositivos comprometidos, que es otra novedad para el malware de Android».
La cadena de ataque comienza con usuarios desprevenidos que hacen clic en anuncios fraudulentos en los resultados de búsqueda de Google que conducen a cientos de canales de YouTube incompletos, que luego los dirigen a sitios web similares a Telegram y WhatsApp.
Lo novedoso del último lote de malware clipper es que es capaz de interceptar los chats de una víctima y reemplazar cualquier dirección de billetera de criptomonedas enviada y recibida con direcciones controladas por los actores de la amenaza.
Otro grupo de malware clipper utiliza OCR para encontrar y robar frases iniciales aprovechando un complemento de aprendizaje automático legítimo llamado ML Kit en Android , lo que hace posible vaciar las billeteras.
Un tercer grupo está diseñado para controlar las conversaciones de Telegram para ciertas palabras clave chinas, tanto codificadas como recibidas de un servidor, relacionadas con las criptomonedas y, de ser así, filtrar el mensaje completo, junto con el nombre de usuario, el grupo o el nombre del canal, para un servidor remoto.
Por último, un cuarto conjunto de cortadores de Android viene con capacidades para cambiar la dirección de la billetera, así como para recopilar información del dispositivo y datos de Telegram, como mensajes y contactos.
Los nombres de los paquetes APK de Android falsos se enumeran a continuación:
- org.telegram.messenger
- org.telegram.messenger.web2
- org.tgplus.messenger
- io.busniess.va.whatsapp
- com.whatsapp
ESET dijo que también encontró dos clústeres de Windows, uno que está diseñado para intercambiar direcciones de billetera y un segundo grupo que distribuye troyanos de acceso remoto (RAT) en lugar de clippers para obtener el control de los hosts infectados y perpetrar el robo de criptomonedas.
Todas las muestras de RAT analizadas se basan en Gh0st RAT disponible públicamente , excepto una, que emplea más controles de tiempo de ejecución antianálisis durante su ejecución y utiliza la biblioteca de socket HP para comunicarse con su servidor.
También vale la pena señalar que estos grupos, a pesar de seguir un modus operandi similar, representan conjuntos dispares de actividad probablemente desarrollados por diferentes actores de amenazas.
La campaña, como una operación cibernética maliciosa similar que salió a la luz el año pasado, está dirigida a los usuarios de habla china, motivada principalmente por el hecho de que tanto Telegram como WhatsApp están bloqueados en el país.
«Las personas que deseen utilizar estos servicios tienen que recurrir a medios indirectos para obtenerlos», dijeron los investigadores. «Como era de esperar, esto constituye una gran oportunidad para que los ciberdelincuentes abusen de la situación».
Fuente y redacción: thehackernews.com