偽の WhatsApp と Telegram アプリが被害者の仮想通貨を標的に

17/03/2023 ジェネラル, 技術
偽の WhatsApp と Telegram アプリが被害者の仮想通貨を標的に
偽の WhatsApp と Telegram アプリが被害者の仮想通貨を標的に

ESET の研究者は、WhatsApp および Telegram アプリのトロイの木馬化されたバージョンと、特に Android および Windows ユーザーをターゲットにしたこれらのインスタント メッセージング アプリの多数の模倣 Web サイトを特定しました。 検出されたマルウェアのほとんどは、クリップボードの内容を盗んだり変更したりするマルウェアの一種であるクリッパーです。 問題のソフトウェアはすべて被害者の暗号通貨を盗もうとしますが、一部のソフトウェアは暗号通貨のウォレットを標的にしています。 ESET Research は、特にインスタント メッセージング アプリを標的とする Android ベースのクリッパー ソフトウェアを初めて検出しました。 また、これらのアプリの一部は、光学式文字識別 (OCR) を使用して、侵害されたデバイスに保存されたスクリーンショットからテキストを抽出します。 これは、Android ベースのマルウェアでは初めてのことです。

「詐欺師は、インスタント メッセージ アプリを介して暗号通貨のウォレットを押収しようとしています」

模倣アプリで使用されている言語を調べたところ、これらのソフトウェアを使用している人々は、特に中国語を話すユーザーをターゲットにしていることが明らかになりました。 Telegram と WhatsApp はそれぞれ 2015 年と 2017 年から中国で禁止されているため、これらのアプリを使用したい人は間接的な手段に頼らざるを得ませんでした。 問題の脅威アクターは、まず第一に偽物です。 YouTube 彼は、ユーザーを自分のチャネルにリダイレクトする Google 広告を設定し、次にユーザーを模倣した Telegram と WhatsApp の Web サイトにリダイレクトします。 ESET Research は、こ​​れらの虚偽の広告および関連する広告を削除しません。 YouTube はそのチャネルを Google に報告し、Google はこれらすべての広告とチャネルの使用を直ちに終了しました。

トロイの木馬に偽装されたアプリケーションを検出した ESET の研究者 Lukáš Štefanko 氏は、次のように述べています。

「私たちが検出したクリッパー ソフトウェアの主な目的は、被害者のメッセージをキャプチャし、送受信された仮想通貨ウォレット アドレスを攻撃者のアドレスに置き換えることです。 トロイの木馬に偽装された Android ベースの WhatsApp および Telegram アプリに加えて、同じアプリのトロイの木馬に隠された Windows バージョンも検出されました。」

これらのアプリのトロイの木馬に偽装されたバージョンは、同じ目的を果たしますが、機能が異なります。 レビューされた Android ベースのクリッパー ソフトウェアは、OCR を使用して被害者のデバイスに保存されているスクリーンショットや写真からテキストを読み取る最初の Android ベースのマルウェアです。 OCR は、キー フレーズを検索して再生するために使用されます。 キー フレーズはニーモニック コードであり、暗号通貨ウォレットを復元するために使用される一連の単語です。 悪意のある攻撃者がキー フレーズを入手するとすぐに、それぞれのウォレット内のすべての暗号通貨を直接盗むことができます。

マルウェアは、被害者の暗号通貨ウォレット アドレスを攻撃者に送信します。 sohbet アドレスに置き換えます。 これは、プログラム内で直接アドレスを使用するか、攻撃者のサーバーから動的に取得したアドレスを使用して行われます。 さらに、ソフトウェアは電報メッセージを監視して、暗号通貨に関連する特定のキーワードを検出します。 ソフトウェアがそのようなキーワードを検出するとすぐに、メッセージ全体を攻撃者のサーバーに転送します。

ESET Research は、リモート アクセス トロイの木馬 (RAT) を含む Windows ベースの Telegram および WhatsApp インストーラーと、これらのウォレット アドレス変更クリッパー ソフトウェアの Windows バージョンを検出しました。 アプリケーション モデルに基づいて、Windows ベースの悪意のあるパッケージの XNUMX つがクリッパー ソフトウェアではなく、被害者のシステムを完全に制御できる RAT であることが判明しました。 したがって、これらの RAT は、アプリケーション フローを傍受することなく、暗号通貨ウォレットを盗むことができます。

ルーカス・ステファンコは、この点に関して次のアドバイスをしました。

「Google Play ストアなどの信頼できる信頼できるソースからのみアプリをインストールし、重要な情報を含む暗号化されていない写真やスクリーンショットをデバイスに保存しないでください。 トロイの木馬に偽装した Telegram または WhatsApp アプリケーションがデバイスにあると思われる場合は、これらのアプリケーションをデバイスから手動でアンインストールし、Google Play または正規の Web サイトからアプリケーションを直接ダウンロードしてください。 Windows ベースのデバイスに悪意のある Telegram アプリがある疑いがある場合は、脅威を検出して削除するセキュリティ ソリューションを使用してください。 Windows 版 WhatsApp の唯一の公式バージョンは、現在 Microsoft ストアで入手できます。」