นักวิจัยของ ESET ได้ระบุเวอร์ชันของแอป WhatsApp และ Telegram ที่ถูกโทรจัน รวมถึงเว็บไซต์ลอกเลียนแบบหลายสิบแห่งสำหรับแอปส่งข้อความโต้ตอบแบบทันทีเหล่านั้นที่มีเป้าหมายเป็นผู้ใช้ Android และ Windows โดยเฉพาะ มัลแวร์ที่ตรวจพบส่วนใหญ่เป็น clipper ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่ขโมยหรือแก้ไขเนื้อหาของคลิปบอร์ด ซอฟต์แวร์ที่เป็นปัญหาทั้งหมดพยายามขโมยสกุลเงินดิจิทัลของเหยื่อ ในขณะที่บางโปรแกรมกำหนดเป้าหมายกระเป๋าเงินสกุลเงินดิจิทัล เป็นครั้งแรกที่ ESET Research ตรวจพบซอฟต์แวร์ Clipper บน Android ที่กำหนดเป้าหมายแอปการส่งข้อความโต้ตอบแบบทันทีโดยเฉพาะ นอกจากนี้ แอพบางตัวยังใช้การระบุอักขระด้วยแสง (OCR) เพื่อดึงข้อความจากภาพหน้าจอที่บันทึกไว้ในอุปกรณ์ที่ถูกบุกรุก นี่เป็นอีกหนึ่งครั้งแรกสำหรับมัลแวร์บน Android
“นักต้มตุ๋นพยายามยึดกระเป๋าเงินดิจิทัลผ่านแอปส่งข้อความโต้ตอบแบบทันที”
เมื่อตรวจสอบภาษาที่ใช้ในแอปพลิเคชันเลียนแบบ พบว่าผู้ใช้ซอฟต์แวร์เหล่านี้กำหนดเป้าหมายผู้ใช้ที่พูดภาษาจีนโดยเฉพาะ เนื่องจากทั้ง Telegram และ WhatsApp ถูกแบนในประเทศจีนตั้งแต่ปี 2015 และ 2017 ตามลำดับ ผู้ที่ต้องการใช้แอพเหล่านี้จึงต้องใช้วิธีทางอ้อม ผู้คุกคามที่เป็นปัญหาเป็นคนแรกที่เป็นของปลอม YouTube เขาตั้งค่า Google Ads ซึ่งเปลี่ยนเส้นทางผู้ใช้ไปยังช่องของพวกเขา จากนั้นเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์เลียนแบบ Telegram และ WhatsApp ESET Research จะไม่ลบโฆษณาเท็จและที่เกี่ยวข้องเหล่านี้ YouTube รายงานช่องของตนไปยัง Google และ Google ได้ยุติการใช้โฆษณาและช่องเหล่านี้ทั้งหมดทันที
Lukáš Štefanko นักวิจัยของ ESET ผู้ตรวจพบแอปพลิเคชั่นปลอมตัวของโทรจันกล่าวว่า:
“จุดประสงค์หลักของซอฟต์แวร์ Clipper ที่เราตรวจพบคือการจับภาพข้อความของเหยื่อ และแทนที่ที่อยู่กระเป๋าเงินคริปโตเคอเรนซีที่ส่งและรับด้วยที่อยู่ของผู้โจมตี นอกจากแอพ WhatsApp และ Telegram ที่ใช้ Android ปลอมแปลงเป็นโทรจันแล้ว เรายังตรวจพบแอพรุ่นเดียวกันใน Windows ที่ถูกซ่อนด้วยโทรจันด้วย”
แอปเหล่านี้ในเวอร์ชันที่ปลอมตัวเป็นโทรจันมีคุณลักษณะที่แตกต่างกัน แม้ว่าจะมีจุดประสงค์เดียวกันก็ตาม ซอฟต์แวร์ Clipper บน Android ที่ได้รับการตรวจสอบเป็นมัลแวร์บน Android ตัวแรกที่ใช้ OCR เพื่ออ่านข้อความจากภาพหน้าจอและภาพถ่ายที่จัดเก็บไว้ในอุปกรณ์ของเหยื่อ OCR ใช้เพื่อค้นหาและเล่นวลีสำคัญ วลีสำคัญคือรหัสช่วยจำ ซึ่งเป็นชุดคำที่ใช้กู้คืนกระเป๋าเงินดิจิตอล ทันทีที่ผู้ไม่ประสงค์ดีจับวลีสำคัญได้ พวกเขาสามารถขโมยสกุลเงินดิจิทัลทั้งหมดในกระเป๋าเงินที่เกี่ยวข้องได้โดยตรง
มัลแวร์จะส่งที่อยู่กระเป๋าเงินดิจิตอลของเหยื่อไปยังผู้โจมตี sohbet แทนที่ด้วยที่อยู่ มันทำเช่นนี้กับที่อยู่ในโปรแกรมโดยตรงหรือได้รับแบบไดนามิกจากเซิร์ฟเวอร์ของผู้โจมตี นอกจากนี้ ซอฟต์แวร์ยังตรวจสอบข้อความ Telegram เพื่อตรวจหาคำสำคัญเฉพาะที่เกี่ยวข้องกับสกุลเงินดิจิทัล ทันทีที่ซอฟต์แวร์ตรวจพบคีย์เวิร์ดดังกล่าว ซอฟต์แวร์จะส่งต่อข้อความทั้งหมดไปยังเซิร์ฟเวอร์ของผู้โจมตี
ESET Research ตรวจพบโปรแกรมติดตั้ง Telegram และ WhatsApp ที่ใช้ Windows ซึ่งมีโทรจันเข้าถึงระยะไกล (RATs) รวมถึงซอฟต์แวร์ Clipper ที่ปรับเปลี่ยนที่อยู่ Wallet เวอร์ชัน Windows จากรูปแบบแอปพลิเคชัน พบว่าหนึ่งในแพ็คเกจที่เป็นอันตรายบน Windows ไม่ใช่ซอฟต์แวร์ clipper แต่เป็น RAT ที่สามารถควบคุมระบบของเหยื่อได้อย่างสมบูรณ์ ดังนั้น RAT เหล่านี้สามารถขโมยกระเป๋าเงินดิจิตอลโดยไม่ขัดขวางการไหลของแอปพลิเคชัน
Lukas Stefanko ให้คำแนะนำต่อไปนี้ในเรื่องนี้:
“ติดตั้งแอพจากแหล่งที่เชื่อถือได้และเชื่อถือได้เท่านั้น เช่น Google Play Store และอย่าจัดเก็บรูปภาพหรือภาพหน้าจอที่ไม่ได้เข้ารหัสไว้ในอุปกรณ์ของคุณซึ่งมีข้อมูลสำคัญ หากคุณคิดว่าคุณมีแอปพลิเคชัน Telegram หรือ WhatsApp ที่ปลอมตัวเป็นโทรจันบนอุปกรณ์ของคุณ ให้ถอนการติดตั้งแอปพลิเคชันเหล่านี้ด้วยตนเองจากอุปกรณ์ของคุณ และดาวน์โหลดแอปพลิเคชันจาก Google Play หรือโดยตรงจากเว็บไซต์ที่ถูกต้อง หากคุณสงสัยว่าคุณมีแอพ Telegram ที่เป็นอันตรายบนอุปกรณ์ที่ใช้ Windows ให้ใช้โซลูชันความปลอดภัยที่ตรวจจับและกำจัดภัยคุกคาม ปัจจุบัน WhatsApp สำหรับ Windows รุ่นทางการเพียงรุ่นเดียวมีให้บริการในร้านค้าของ Microsoft”