- #Bezpečnosť na internete
- 3 min.
- 17.3.2023
WhatsApp a Telegram vám možno bez vášho vedomia kradnú peniaze. Ako to?
Výskumníkom spoločnosti ESET sa znovu podarilo odhaliť ďalšiu hrozbu. Objavené boli totiž desiatky napodobenín webových stránok aplikácií Telegram a WhatsApp, ktoré obsahujú nebezpečný malvér.
Tieto nepravé verzie aplikácií sa zameriavajú na používateľov platforiem Android a Windows. Väčšina identifikovaných škodlivých aplikácií obsahuje clippery, teda typ malvéru, ktorý kradne alebo upravuje obsah clipboardu.
Ide taktiež o prvý prípad, kedy ESET zaznamanal Android clippery špecificky sa zameriavajúce na četovacie aplikácie. Všetky clippery idú po finančných prostriedkoch obetí v kryptomenách, pričom viaceré sa zameriavajú na kryptopeňaženky.
Niektoré skompromitované aplikácie navyše využívajú optické rozpoznávanie znakov (OCR) na identifikovanie textu zo snímok obrazovky uložených v napadnutých zariadeniach. Ide o ďalšiu prvýkrát pozorovanú schopnosť Android malvéru.
Útočníci sa zameriavajú najmä na čínsky hovoriacich používateľov, keďže služby Telegram aj WhatsApp sú v Číne už niekoľko rokov blokované, takže ľudia, ktorí ich chcú používať, si ich musia stiahnuť neoficiálnou cestou.
V prvom kroku útočníci vytvorili reklamy na Google, ktoré používateľov naviedli na podvodné YouTube kanály. Tie následne presmerovali návštevníkov na falošné webové stránky Telegram a WhatsApp. ESET okamžite nahlásil Google podvodné reklamy a YouTube kanály, ktorý ich okamžite zrušil.
Ako tvrdí výskumník Lukáš Štefanko z ESETu, ktorý škodlivé aplikácie objavil, tak hlavným účelom objavených clipperov je zachytávať komunikáciu obete prostredníctvom správ a nahradiť všetky odoslané a prijaté adresy peňaženiek s kryptomenami adresami, ktoré patria útočníkom.
Tie sú buď pevne nakódované alebo dynamicky načítané zo servera útočníka. V ďalšom prípade škodlivý softvér monitoruje komunikáciu v službe Telegram na určité kľúčové slová týkajúce sa kryptomien. Po rozpoznaní takéhoto kľúčového slova malvér odošle celú správu na server útočníka.
ESET našiel taktiež Windows verzie clipperov na výmenu kryptopeňaženiek, ako aj inštalačné súbory Telegramu a WhatsAppu pre Windows spojené s trojanmi pre vzdialený prístup. Odkaz znie teda jasne: aplikácie inštalujte len z dôveryhodných a spoľahlivých zdrojov, ako je napríklad obchod Google Play, a neukladajte do svojho zariadenia nešifrované obrázky alebo snímky obrazovky obsahujúce citlivé informácie.
Ak sa domnievate, že máte škodlivú verziu aplikácie Telegram alebo WhatsApp, ručne ju odstráňte zo svojho zariadenia a stiahnite si aplikáciu buď z Google Play. V prípade systému Windows, ak máte podozrenie na škodlivú aplikáciu, použite bezpečnostné riešenie, ktoré hrozbu odhalí a odstráni ju za vás.