Las versiones troyanizadas de programas de mensajería populares como Telegram o WhatsApp se ofrecen en sitios falsos a usuarios de Android y Windows, quienes al descargar aplicaciones infectadas infectan sus dispositivos, los llamados. software malicioso cortapelos.
“Todos ellos están buscando las criptomonedas de las víctimas, y varios de ellos apuntan a billeteras para almacenar criptomonedas”. dijeron los investigadores de ESET Lukaš Štefanko y Peter Striček.
El primer caso de malware clipper en Google Play Store data de 2019. Ese malware, llamado Android/Clipper.C, aprovechó el hecho de que los usuarios de criptomonedas generalmente no ingresan sus direcciones de billetera en línea manualmente, sino que en lugar de escribir, tienden a copiar las direcciones en una memoria temporal (portapapeles) donde el malware reemplaza la dirección de la víctima con la del atacante.
“Algunas de estas aplicaciones utilizan el reconocimiento óptico de caracteres (OCR) para reconocer el texto de las capturas de pantalla guardadas en dispositivos comprometidos, lo cual es otra novedad para el malware de Android”, dice el informe de ESET.
La cadena de ataques comienza cuando los usuarios hacen clic en anuncios falsos en los resultados de búsqueda de Google que conducen a cientos de canales de YouTube, que luego los dirigen a sitios web que se parecen a los sitios web oficiales de Telegram y WhatsApp.
Lo nuevo del último lote de clippers es que son capaces de interceptar los chats de las víctimas y reemplazar todas las direcciones de billetera de criptomonedas enviadas y recibidas con direcciones controladas por los atacantes.
Otro grupo de clippers usa OCR para encontrar y robar frases iniciales usando el complemento legítimo de aprendizaje automático ML Kit, lo que les permite vaciar sus billeteras.
El tercer grupo monitorea las conversaciones de Telegram esperando ciertas palabras clave relacionadas con las criptomonedas. Cuando se reconoce una palabra clave de este tipo, el malware envía el mensaje completo, junto con el nombre de usuario, el grupo o el nombre del canal, al servidor del atacante.
Finalmente, el cuarto conjunto de cortadores de Android puede cambiar las direcciones de la billetera, así como recopilar información del dispositivo y datos de Telegram, como mensajes y contactos.
ESET encontró varios paquetes APK de Android falsos: org.telegram.messenger, org.telegram.messenger.web2, org.tgplus.messenger, io.busniess.va.whatsapp y com.whatsapp.
Los investigadores también encontraron dos clústeres de Windows, uno diseñado para reemplazar las direcciones de billetera y otro grupo que distribuye troyanos de acceso remoto (RAT) en lugar de clippers para obtener el control de las computadoras infectadas y robar criptomonedas.
Estos clústeres, a pesar de tener una forma de trabajar similar, tienen actividades diferentes porque son obra de diferentes desarrolladores.
Y esta campaña, como una similar vista el año pasado, está dirigida a los usuarios de habla china, probablemente porque Telegram y WhatsApp están bloqueados en este país, por lo que “las personas que quieren usar estos servicios tienen que recurrir a medios indirectos para conseguirlos. ” , dijeron los investigadores. Es “una oportunidad para que los ciberdelincuentes abusen de la situación”.
Ilustración: María Shalabaieva / Unsplash
Source: Informacija.rs by www.informacija.rs.
*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
