Los sitios web imitadores de aplicaciones de mensajería instantánea como Telegram y WhatApp se utilizan para distribuir versiones troyanizadas e infectar a los usuarios de Android y Windows con malware de criptomonedas.
“Todos ellos buscan los fondos de criptomonedas de las víctimas, y varios apuntan a las billeteras de criptomonedas”, los investigadores de ESET Lukáš Štefanko y Peter Strýček. dicho en un nuevo análisis.
Mientras que la primera instancia de malware clipper en Google Play Store se remonta a 2019, el desarrollo marca la primera vez que el malware clipper basado en Android se integra en aplicaciones de mensajería instantánea.
“Además, algunas de estas aplicaciones utilizan el reconocimiento óptico de caracteres (OCR) para reconocer el texto de las capturas de pantalla almacenadas en los dispositivos comprometidos, que es otra novedad para el malware de Android”.
La cadena de ataque comienza con usuarios desprevenidos que hacen clic en anuncios fraudulentos en los resultados de búsqueda de Google que conducen a cientos de canales de YouTube incompletos, que luego los dirigen a sitios web similares a Telegram y WhatsApp.
Lo novedoso del último lote de malware clipper es que es capaz de interceptar los chats de una víctima y reemplazar cualquier dirección de billetera de criptomonedas enviada y recibida con direcciones controladas por los actores de la amenaza.
Otro grupo de malware clipper utiliza OCR para encontrar y robar frases semilla aprovechando un complemento legítimo de aprendizaje automático llamado Kit de aprendizaje automático en Androidlo que permite vaciar los monederos.
Un tercer grupo está diseñado para controlar las conversaciones de Telegram para ciertas palabras clave chinas, tanto codificadas como recibidas de un servidor, relacionadas con las criptomonedas y, de ser así, filtrar el mensaje completo, junto con el nombre de usuario, el grupo o el nombre del canal, para un servidor remoto.
Por último, un cuarto conjunto de cortadores de Android viene con capacidades para cambiar la dirección de la billetera, así como para recopilar información del dispositivo y datos de Telegram, como mensajes y contactos.
Los nombres de los paquetes APK de Android falsos se enumeran a continuación:
- org.telegram.messenger
- org.telegram.messenger.web2
- org.tgplus.messenger
- io.busniess.va.whatsapp
- com.whatsapp
ESET dijo que también encontró dos clústeres de Windows, uno que está diseñado para intercambiar direcciones de billetera y un segundo grupo que distribuye troyanos de acceso remoto (RAT) en lugar de clippers para obtener el control de los hosts infectados y perpetrar el robo de criptomonedas.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Todas las muestras RAT analizadas se basan en las disponibles públicamente rata fantasmasalvo uno, que emplea más comprobaciones de tiempo de ejecución anti-análisis durante su ejecución y utiliza el Biblioteca de socket HP para comunicarse con su servidor.
También vale la pena señalar que estos grupos, a pesar de seguir un modus operandi similar, representan conjuntos dispares de actividad probablemente desarrollados por diferentes actores de amenazas.
La campaña, como una operación cibernética maliciosa similar que salió a la luz el año pasado, está dirigida a los usuarios de habla china, motivada principalmente por el hecho de que tanto Telegram como WhatsApp están bloqueados en el país.
“Las personas que deseen utilizar estos servicios tienen que recurrir a medios indirectos para obtenerlos”, dijeron los investigadores. “Como era de esperar, esto constituye una gran oportunidad para que los ciberdelincuentes abusen de la situación”.
About the Author
