Nowe zagrożenie wymierzone w użytkowników komunikatorów WhatsApp i Telegram

ESET przestrzega przed nowatorskim i skomplikowanym modelem ataku wymierzonym w osoby korzystające z aplikacji Telegram i WhatsApp. Złośliwe oprogramowanie odczytywało wiadomości użytkowników, a nawet dane ze schowków i zrzutów ekranów, kradnąc w ten sposób m.in. kryptowaluty.

Alok Sharma/Pexels

Eksperci ESET zdemaskowali dziesiątki witryn, podszywających się pod oficjalne strony aplikacji Telegram i WhatsApp. Cyberprzestępcy wzięli na celownik głównie użytkowników systemów Android i Windows, atakując ich za pośrednictwem zainfekowanych wersji popularnych, internetowych komunikatorów. Zainfekowane wersje to przede wszystkim tzw. clippery — rodzaj złośliwego oprogramowania, które kradnie lub modyfikuje zawartość schowka w trakcie popularnej czynności „kopiuj – wklej”. Akcja była wymierzona w osoby posiadające fundusze kryptowalutowe, a niektóre z clipperów atakowały tzw. lokalne portfele kryptowalutowe, za których pośrednictwem przechowuje się cyfrowe klucze do transakcji.

Specjaliści ESET przyznają, że po raz pierwszy mieli do czynienia ze złośliwym oprogramowaniem typu clipper wymierzonym w użytkowników systemu Android i wbudowanym w komunikator internetowy. Co więcej, był to pierwszy znany im atak na użytkowników Androida, podczas którego wykorzystywano technologię OCR (ang. optical character recognition – pol. optyczne rozpoznawanie znaków) do rozpoznawania tekstu ze zrzutów ekranu przechowywanych na zainfekowanych urządzeniach. OCR był wykorzystywany m.in. w celu znalezienia i kradzieży frazy początkowej, która jest kodem mnemonicznym składającym się z serii słów używanych do odzyskiwania portfeli kryptowalut. Gdy cyberprzestępcy ją zdobędą, mogą ukraść wszystkie środki bezpośrednio z powiązanego portfela kryptowalut. „Głównym celem zdemaskowanego przez nas mechanizmu było przechwytywanie wiadomości ofiar, związanych z transakcjami kryptowalutowymi. Oprócz zainfekowanych aplikacji WhatsApp i Telegram na Androida, znaleźliśmy również zainfekowane wersje tych samych aplikacji dla systemu Windows” mówi badacz ESET, Lukáš Štefanko, który odkrył te aplikacje.

Zobacz również:

  • Bezpieczna miłość w sieci
  • Pierwsza aktualizacja dla Galaxy S24 - poprawiono ekran i aparat
  • Polacy bezrefleksyjnie ufają technologii?

Różne wersje zmodyfikowanej złośliwej aplikacji posiadały także dodatkowe funkcje. Jednym z wykorzystywanych mechanizmów było zmienianie przez złośliwe oprogramowanie adresu portfela kryptowalut ofiary na adres atakującego. Działo się to w trakcie rozmowy za pośrednictwem komunikatora. W jeszcze innym przypadku złośliwe oprogramowanie monitorowało komunikację za pośrednictwem Telegrama pod kątem określonych słów kluczowych, związanych z kryptowalutami. Po rozpoznaniu takiego słowa, wysyłało kompletną wiadomość użytkownika na serwer cyberprzestępców. Badacze ESET odkryli również wersje złośliwych aplikacji atakujących użytkowników systemu Windows, a także zainfekowane wersje aplikacji Telegram i WhatsApp dla systemu Windows w pakiecie z tzw. trojanami zdalnego dostępu (RAT – złośliwe oprogramowanie, kontrolujące system za pośrednictwem zdalnego połączenia sieciowego).

Jak chronić się przed tego typu zagrożeniami?

Na podstawie języka używanego przez fałszywe aplikacje można przypuszczać, że cyberprzestępcy celowali przede wszystkim w użytkowników chińskojęzycznych. Ponieważ zarówno Telegram, jak i WhatsApp są zakazane w Chinach od kilku lat (Telegram został w tym kraju zablokowany w 2015 roku, a WhatsApp w 2017 roku) osoby chcące z nich korzystać, często poszukują innych sposobów dostępu. Cyberprzestępcy wykorzystali to, konfigurując reklamy Google Ads prowadzące do fałszywych kanałów YouTube, które następnie kierowały widzów do witryn podszywających się pod Telegram i WhatsApp. Po zgłoszeniu fałszywych reklam i powiązanych z nimi kanałów, Google natychmiast je zlikwidował. Cyberprzestępcy zadali sobie jednak wiele trudu, opracowując tak złożony i innowacyjny pod wieloma względami mechanizm ataku. Niewykluczone, że będzie on powtarzany i modyfikowany przez nich w przyszłości. Jak nie nabrać się na tego typu fałszywe aplikacje?

„Instaluj tylko aplikacje z wiarygodnych i sprawdzonych źródeł, takich jak sklep Google Play, i nie przechowuj niezaszyfrowanych zdjęć ani zrzutów ekranu zawierających poufne informacje na swoim urządzeniu. Jeśli podejrzewasz, że zainstalowałeś zainfekowaną wersję Telegrama lub WhatsApp, ręcznie usuń ją ze swojego urządzenia i pobierz oryginalną aplikację z Google Play lub bezpośrednio z oficjalnej strony internetowej. W przypadku systemu Windows, jeśli podejrzewasz, że twoja aplikacja Telegram jest zainfekowana, użyj rozwiązania zabezpieczającego, aby wykryć zagrożenie i usunąć. Z kolei jedyna oficjalna wersja WhatsApp dla Windows jest obecnie dostępna w sklepie Microsoft”, radzą eksperci ESET.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200