Sites falsos de aplicativos de mensagens instantâneas como o Telegram e o WhatsApp estão sendo usados para distribuir versões trojanizadas e infectar usuários do Android e do Windows com malware de criptografia clipper.
"Todos eles estão atrás dos fundos de criptomoedas das vítimas, com vários visando carteiras de criptomoedas", disseram os pesquisadores da ESET Lukáš Štefanko e Peter Strýček em uma nova análise.
Embora a primeira instância de malware clipper na Google Play Store date de 2019, o desenvolvimento marca a primeira vez que o malware clipper baseado em Android foi incorporado a aplicativos de mensagens instantâneas.
"Além disso, alguns desses aplicativos usam reconhecimento óptico de caracteres (OCR) para reconhecer texto de capturas de tela armazenadas nos dispositivos comprometidos, o que é outra novidade para o malware Android".
A cadeia de ataque começa com usuários desprevenidos clicando em anúncios fraudulentos nos resultados da pesquisa do Google que levam a centenas de canais suspeitos do YouTube, que então os direcionam para sites falsos semelhantes ao Telegram e WhatsApp.
O que há de novo no último lote de malware clipper é que ele é capaz de interceptar as conversas de uma vítima e substituir quaisquer endereços de carteira de criptomoedas enviados e recebidos por endereços controlados pelos atores ameaçadores.
Outro grupo de malware clipper usa OCR para encontrar e roubar frases de sementes, aproveitando um plug-in legítimo de aprendizado de máquina chamado ML Kit no Android, tornando possível esvaziar as carteiras.
Um terceiro grupo é projetado para monitorar conversas do Telegram para certas palavras-chave chinesas, tanto codificadas quanto recebidas de um servidor, relacionadas a criptomoedas e, se for o caso, exfiltrar a mensagem completa, juntamente com o nome de usuário, grupo ou nome do canal, para um servidor remoto.
Por fim, um quarto conjunto de clippers do Android vem com a capacidade de trocar o endereço da carteira e coletar informações do dispositivo e dados do Telegram, como mensagens e contatos.
A ESET disse também ter encontrado dois clusters do Windows, um dos quais é projetado para trocar endereços de carteira e um segundo grupo que distribui cavalos de Troia de acesso remoto (RATs) no lugar dos clippers para obter controle de hosts infectados e perpetrar roubo de criptomoedas.
Todos os amostras de RAT analisadas são baseadas no Gh0st RAT disponível publicamente, exceto uma, que emprega mais verificações de tempo de execução anti-análise durante sua execução e usa a biblioteca HP-socket para se comunicar com seu servidor.
Vale ressaltar que esses clusters, apesar de seguir um modus operandi semelhante, representam conjuntos díspares de atividades provavelmente desenvolvidas por diferentes atores de ameaças.
A campanha, como uma operação maliciosa semelhante que veio à tona no ano passado, é voltada para usuários de língua chinesa, principalmente motivada pelo fato de que tanto o Telegram quanto o WhatsApp são bloqueados no país.
"Pessoas que desejam usar esses serviços têm que recorrer a meios indiretos para obtê-los", disseram os pesquisadores.
"Não é surpreendente que isso constitua uma oportunidade para os criminosos cibernéticos abusarem da situação."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...