Onderzoekers van ESET ontdekten tientallen kopieën van Telegram- en WhatsApp-sites die vooral op Android- en Windows-gebruikers doelen met getrojaniseerde versies van deze apps. De meeste schadelijke apps die ze identificeerden waren clippers, een soort malware die de inhoud van het clipboard steelt of wijzigt. Ze zijn allemaal op zoek naar de cryptocurrency-fondsen van slachtoffers en sommige doelen op cryptocurrency-portefeuilles.
· ESET Research vindt het eerste exemplaar van clippers ingebouwd in instant messaging-apps.
· Aanvallers jagen op de cryptocurrency-fondsen van slachtoffers via getrojaniseerde Telegram- en WhatsApp-apps voor Android en Windows.
· De malware kan de adressen van de cryptocurrency-portefeuille door het slachtoffer in chatberichten verstuurd, veranderen in adressen van de aanvaller.
· Sommige clippers misbruiken optische tekenherkenning (OCR) om tekst uit schermafbeeldingen te halen en herstelzinnen voor cryptocurrency-portefeuilles te stelen.
· Naast clippers vond ESET ook trojans voor toegang op afstand, gebundeld met kwaadaardige Windows-versies van WhatsApp en Telegram.
BRATISLAVA, 16 maart 2023 — Onderzoekers van ESET ontdekten tientallen kopieën van Telegram- en WhatsApp-sites die vooral op Android- en Windows-gebruikers doelen met getrojaniseerde versies van deze apps. De meeste schadelijke apps die ze identificeerden waren clippers, een soort malware die de inhoud van het clipboard steelt of wijzigt. Ze zijn allemaal op zoek naar de cryptocurrency-fondsen van slachtoffers en sommige doelen op cryptocurrency-portefeuilles. ESET zag voor het eerst Android-clippers die zich specifiek richtten op instant messaging. Bovendien gebruiken sommige van deze apps OCR om teksten van schermafbeeldingen, opgeslagen op de gecompromitteerde apparaten, te herkennen. Ook een primeur voor Android-malware.
Volgens de taal gebruikt in de copycat-apps, blijkt dat de operatoren zich voornamelijk richten op Chineessprekende gebruikers. Daar zowel Telegram als WhatsApp al enkele jaren in China geblokkeerd zijn (Telegram sinds 2015, WhatsApp sinds 2017), moeten zij die deze diensten willen gebruiken hun toevlucht zoeken in indirecte middelen om die te verkrijgen.
De aanvallers zetten eerst Google Ads in die tot frauduleuze YouTube-kanalen leiden. Vervolgens verwijzen deze de gebruikers door naar copycat-sites van Telegram en WhatsApp. ESET Research rapporteerde onmiddellijk de frauduleuze advertenties en gerelateerde YouTube-kanalen aan Google, die ze dadelijk sloot.
“Het eerste doel van de clippers die we ontdekten, is de berichtencommunicatie van het slachtoffer te onderscheppen en alle verzonden en ontvangen adressen van cryptocurrency-portefeuilles te vervangen door adressen van de aanvallers. Naast de getrojaniseerde WhatsApp- en Telegram Android-apps, vonden we ook getrojaniseerde Windows-versies van dezelfde apps”, zegt Lukáš Štefanko, de ESET-onderzoeker die de getrojaniseerde apps ontdekte.
Hoewel ze hetzelfde doel hebben, bevatten de getrojaniseerde versies van deze apps verschillende extra functionaliteiten. De geanalyseerde Android-clippers vormen het eerste geval van Android-malware die OCR gebruikt om teksten te lezen van schermafbeeldingen en foto’s opgeslagen op het toestel van het slachtoffer. OCR wordt ingezet om een beginzin te vinden en te stelen, een geheugensteuntje dat bestaat uit een reeks woorden gebruikt voor het herstellen van cryptocurrency-portefeuilles. Zodra de aanvallers een beginzin in handen krijgen, kunnen ze alle cryptocurrency rechtstreeks uit de bijbehorende portefeuille stelen.
In een ander geval verwisselt de malware gewoonweg, in chatcommunicatie, het adres van de cryptocurrency-portefeuille van het slachtoffer met het adres van de aanvaller. Hier worden de adressen hardgecodeerd of dynamisch van de server van de aanvaller opgehaald. In een ander geval controleert de malware de Telegram-communicatie op bepaalde trefwoorden in verband met cryptocurrencies. Zodra een trefwoord wordt herkend, stuurt de malware het volledige bericht naar de server van de aanvaller.
ESET Research vond ook Windows-versies van de clippers die de portefeuilles alsook Telegram- en WhatsApp-installatieprogramma’s voor Windows wijzigen, gebundeld met trojans voor externe toegang (Random Access Trojans-RAT). Afwijkend van het gekende schema bestaat een van de Windows-gerelateerde malwarebundels niet uit clippers, maar uit RATs die een totale controle over het systeem van het slachtoffer mogelijk maken. Zo kunnen de RATs cryptocurrency-portefeuilles stelen zonder de stroom aan apps te stoppen.
“Installeer enkel apps van betrouwbare bronnen, zoals Google Play Store, en sla op je toestel geen afbeeldingen of screenshots op met gevoelige informatie als die niet versleuteld is. Als je denkt dat je een getrojaniseerde versie van Telegram of WhatsApp hebt, verwijder deze dan handmatig en download de app van Google Play of van de legitieme website”, adviseert Štefanko. “Voor Windows: vermoed je dat je Telegram-app kwaadaardig is, gebruik dan een beveiligingsoplossing om de dreiging te detecteren en te verwijderen. Momenteel is de enige officiële versie van WhatsApp voor Windows in de Microsoft Store beschikbaar.
Voor meer technische informatie over de ingebouwde clippers in instant messaging-apps, lees de blog “Not-so-private messaging: Trojanized WhatsApp and Telegram apps are after cryptocurrency wallets” op www.welivesecurity.com/. Volg ESET Research on Twitter voor het laatste nieuws over ESET Research.