ESET-i teadlased on tuvastanud WhatsAppi ja Telegrami rakenduste troojastatud versioonid, aga ka kümneid kopeeritud veebisaite nende kiirsuhtlusrakenduste jaoks, mis on spetsiaalselt suunatud Androidi ja Windowsi kasutajatele. Enamik tuvastatud pahavarast on clipper, teatud tüüpi pahavara, mis varastab või muudab lõikepuhvri sisu. Kogu kõnealune tarkvara üritab varastada ohvrite krüptovaluutasid, samas kui mõni sihib krüptoraha rahakotte. ESET Research tuvastas esimest korda Androidi-põhise lõikuritarkvara, mis sihib spetsiaalselt kiirsuhtlusrakendusi. Mõned neist rakendustest kasutavad ka ohustatud seadmetesse salvestatud ekraanipiltidest teksti eraldamiseks optilist märgituvastust (OCR). See on veel üks esimene Android-põhise pahavara jaoks.
Petturid üritavad kiirsuhtlusrakenduste kaudu krüptoraha rahakotte konfiskeerida
Kui uuriti imitatsioonirakendustes kasutatud keelt, selgus, et seda tarkvara kasutavad inimesed olid eelkõige suunatud hiina keelt kõnelevatele kasutajatele. Kuna nii Telegram kui ka WhatsApp on Hiinas keelatud alates 2015. aastast ja 2017. aastast, pidid inimesed, kes soovisid neid rakendusi kasutada, kasutama kaudseid vahendeid. Kõnealused ohustajad on ennekõike võltsitud. YouTube Ta seadistas Google Adsi, mis suunab kasutajad ümber nende kanalitele ja seejärel suunab kasutajad Telegrami ja WhatsAppi veebisaitidele. ESET Research ei eemalda neid valereklaame ega sellega seotud reklaame YouTube teatas oma kanalitest Google'ile ning Google lõpetas kohe kõigi nende reklaamide ja kanalite kasutamise.
ESET-i teadlane Lukáš Štefanko, kes tuvastas troojalastega varjatud rakendused, ütles:
«Meie tuvastatud klipperi tarkvara peamine eesmärk on tabada ohvri sõnumid ning asendada saadetud ja vastuvõetud krüptoraha rahakoti aadressid ründaja aadressidega. Lisaks trooja varjatud Androidi-põhistele WhatsAppi ja Telegrami rakendustele tuvastasime ka samade rakenduste Trooja peidetud Windowsi versioonid.
Nende rakenduste Trooja varjatud versioonidel on erinevad funktsioonid, kuigi neil on sama eesmärk. Läbi vaadatud Androidi-põhine lõikeriistatarkvara on esimene Android-põhine pahavara, mis kasutab OCR-i teksti lugemiseks ohvri seadmesse salvestatud ekraanipiltidelt ja fotodelt. OCR-i kasutatakse võtmefraasi leidmiseks ja esitamiseks. Võtmefraas on mnemokood, sõnade kogum, mida kasutatakse krüptoraha rahakottide taastamiseks. Niipea, kui pahatahtlikud tegutsejad saavad võtmefraasi kätte, saavad nad otse varastada kõik vastavas rahakotis olevad krüptovaluutad.
Pahavara saadab ründajale ohvri krüptoraha rahakoti aadressi. sohbet asendab selle aadressiga. See teeb seda aadressidega, mis on kas otse programmis või hangitud dünaamiliselt ründaja serverist. Lisaks jälgib tarkvara Telegrami sõnumeid, et tuvastada konkreetseid krüptovaluutadega seotud märksõnu. Niipea, kui tarkvara sellise märksõna tuvastab, saadab see kogu sõnumi edasi ründaja serverisse.
ESET Research on tuvastanud Windowsi-põhised Telegrami ja WhatsAppi installiprogrammid, mis sisaldavad kaugjuurdepääsu troojalasi (RAT), aga ka nende rahakoti aadressi muutva lõikuri tarkvara Windowsi versioonid. Rakendusmudeli põhjal avastati, et üks Windowsi-põhiseid pahatahtlikke pakette ei olnud mitte clipper-tarkvara, vaid RAT-id, mis võisid ohvri süsteemi üle täieliku kontrolli haarata. Seega võivad need RAT-id varastada krüptoraha rahakotte ilma rakenduste voogu katkestamata.
Lukas Stefanko andis sellega seoses järgmise nõuande:
„Installige rakendusi ainult usaldusväärsetest allikatest, näiteks Google Play poest, ning ärge salvestage oma seadmesse krüptimata pilte või ekraanipilte, mis sisaldavad olulist teavet. Kui arvate, et teie seadmes on troojalastega varjatud Telegrami või WhatsAppi rakendus, desinstallige need rakendused oma seadmest käsitsi ja laadige rakendus alla kas Google Playst või otse seaduslikult veebisaidilt. Kui kahtlustate, et teie Windowsi-põhises seadmes on pahatahtlik Telegrami rakendus, kasutage turvalahendust, mis tuvastab ja eemaldab ohu. Ainus ametlik WhatsApp for Windows versioon on praegu saadaval Microsofti poes.