Na celowniku cyberprzestępców po raz kolejny znaleźli się użytkownicy popularnych komunikatorów. Nowoodkryta akcja cyberprzestępców wymierzona była w osoby korzystające z aplikacji Telegram i WhatsApp. Złośliwe oprogramowanie odczytywało wiadomości użytkowników, a nawet dane ze schowków i zrzutów ekranów, kradnąc w ten sposób m.in. kryptowaluty. – Cyberprzestępcy opracowali skomplikowany i nowatorski model ataku, mogą go powtarzać w przyszłości – przestrzegają specjaliści ds. cyberbezpieczeństwa ESET.
Eksperci ESET zdemaskowali dziesiątki witryn, podszywających się pod oficjalne strony aplikacji Telegram i WhatsApp. Cyberprzestępcy wzięli na celownik głównie użytkowników systemów Android i Windows, atakując ich za pośrednictwem zainfekowanych wersji popularnych, internetowych komunikatorów. Zainfekowane wersje to przede wszystkim tzw. clippery - rodzaj złośliwego oprogramowania, które kradnie lub modyfikuje zawartość schowka w trakcie popularnej czynności „kopiuj – wklej”. Akcja była wymierzona w osoby posiadające fundusze kryptowalutowe, a niektóre z clipperów atakowały tzw. lokalne portfele kryptowalutowe, za których pośrednictwem przechowuje się cyfrowe klucze do transakcji.
Mechanizm ataku
Specjaliści ESET przyznają, że po raz pierwszy mieli do czynienia ze złośliwym oprogramowaniem typu clipper wymierzonym w użytkowników systemu Android i wbudowanym w komunikator internetowy. Co więcej, był to pierwszy znany im atak na użytkowników Androida, podczas którego wykorzystywano technologię OCR (ang. optical character recognition – pol. optyczne rozpoznawanie znaków) do rozpoznawania tekstu ze zrzutów ekranu przechowywanych na zainfekowanych urządzeniach. OCR był wykorzystywany m.in. w celu znalezienia i kradzieży frazy początkowej, która jest kodem mnemonicznym składającym się z serii słów używanych do odzyskiwania portfeli kryptowalut. Gdy cyberprzestępcy ją zdobędą, mogą ukraść wszystkie środki bezpośrednio z powiązanego portfela kryptowalut.
– Głównym celem zdemaskowanego przez nas mechanizmu było przechwytywanie wiadomości ofiar, związanych z transakcjami kryptowalutowymi. Oprócz zainfekowanych aplikacji WhatsApp i Telegram na Androida, znaleźliśmy również zainfekowane wersje tych samych aplikacji dla systemu Windows - mówi badacz ESET, Lukáš Štefanko, który odkrył te aplikacje.
Różne wersje zmodyfikowanej złośliwej aplikacji posiadały także dodatkowe funkcje. Jednym z wykorzystywanych mechanizmów było zmienianie przez złośliwe oprogramowanie adresu portfela kryptowalut ofiary na adres atakującego. Działo się to w trakcie rozmowy za pośrednictwem komunikatora. W jeszcze innym przypadku złośliwe oprogramowanie monitorowało komunikację za pośrednictwem Telegrama pod kątem określonych słów kluczowych, związanych z kryptowalutami. Po rozpoznaniu takiego słowa, wysyłało kompletną wiadomość użytkownika na serwer cyberprzestępców. Badacze ESET odkryli również wersje złośliwych aplikacji atakujących użytkowników systemu Windows, a także zainfekowane wersje aplikacji Telegram i WhatsApp dla systemu Windows w pakiecie z tzw. trojanami zdalnego dostępu (RAT – złośliwe oprogramowanie, kontrolujące system za pośrednictwem zdalnego połączenia sieciowego).
Jak chronić się przed tego typu zagrożeniami?
Na podstawie języka używanego przez fałszywe aplikacje można przypuszczać, że cyberprzestępcy celowali przede wszystkim w użytkowników chińskojęzycznych. Ponieważ zarówno Telegram, jak i WhatsApp są zakazane w Chinach od kilku lat (Telegram został w tym kraju zablokowany w 2015 roku, a WhatsApp w 2017 roku) osoby chcące z nich korzystać, często poszukują innych sposobów dostępu. Cyberprzestępcy wykorzystali to, konfigurując reklamy Google Ads prowadzące do fałszywych kanałów YouTube, które następnie kierowały widzów do witryn podszywających się pod Telegram i WhatsApp. Po zgłoszeniu fałszywych reklam i powiązanych z nimi kanałów, Google natychmiast je zlikwidował. Cyberprzestępcy zadali sobie jednak wiele trudu, opracowując tak złożony i innowacyjny pod wieloma względami mechanizm ataku. Niewykluczone, że będzie on powtarzany i modyfikowany przez nich w przyszłości. Jak nie nabrać się na tego typu fałszywe aplikacje?
– Instaluj tylko aplikacje z wiarygodnych i sprawdzonych źródeł, takich jak sklep Google Play, i nie przechowuj niezaszyfrowanych zdjęć ani zrzutów ekranu zawierających poufne informacje na swoim urządzeniu. Jeśli podejrzewasz, że zainstalowałeś zainfekowaną wersję Telegrama lub WhatsApp, ręcznie usuń ją ze swojego urządzenia i pobierz oryginalną aplikację z Google Play lub bezpośrednio z oficjalnej strony internetowej. W przypadku systemu Windows, jeśli podejrzewasz, że twoja aplikacja Telegram jest zainfekowana, użyj rozwiązania zabezpieczającego, aby wykryć zagrożenie i usunąć. Z kolei jedyna oficjalna wersja WhatsApp dla Windows jest obecnie dostępna w sklepie Microsoft – radzą eksperci ESET.