Các nhà nghiên cứu của ESET đã xác định được các phiên bản bị trojan hóa của ứng dụng WhatsApp và Telegram, cũng như hàng chục trang web sao chép các ứng dụng nhắn tin tức thời nhắm mục tiêu cụ thể đến người dùng Android và Windows. Hầu hết phần mềm độc hại được phát hiện là clipper, một loại phần mềm độc hại đánh cắp hoặc thay đổi nội dung trong khay nhớ tạm. Tất cả các phần mềm được đề cập đều cố gắng đánh cắp tiền điện tử của nạn nhân, trong khi một số nhắm mục tiêu vào ví tiền điện tử. Lần đầu tiên, ESET Research đã phát hiện ra phần mềm clipper dựa trên Android nhắm mục tiêu cụ thể vào các ứng dụng nhắn tin tức thì. Ngoài ra, một số ứng dụng này sử dụng nhận dạng ký tự quang học (OCR) để trích xuất văn bản từ ảnh chụp màn hình được lưu trên thiết bị bị xâm nhập. Đây là lần đầu tiên đối với phần mềm độc hại dựa trên Android.
“Những kẻ lừa đảo đang cố chiếm đoạt ví tiền điện tử thông qua các ứng dụng nhắn tin tức thì”
Khi ngôn ngữ được sử dụng trong các ứng dụng bắt chước được kiểm tra, người ta thấy rằng những người sử dụng phần mềm này đặc biệt nhắm mục tiêu đến người dùng nói tiếng Trung Quốc. Vì cả Telegram và WhatsApp đều đã bị cấm ở Trung Quốc lần lượt từ năm 2015 và 2017, nên những người muốn sử dụng các ứng dụng này phải dùng đến các biện pháp gián tiếp. Các tác nhân đe dọa được đề cập trước hết là giả mạo. YouTube Anh ấy đã thiết lập Google Ads, giúp chuyển hướng người dùng đến kênh của họ, sau đó chuyển hướng người dùng đến các trang web Telegram và WhatsApp bắt chước. ESET Research không xóa những quảng cáo sai sự thật này và những quảng cáo có liên quan YouTube đã báo cáo các kênh của mình cho Google và Google ngay lập tức chấm dứt việc sử dụng tất cả các quảng cáo và kênh này.
Nhà nghiên cứu Lukáš Štefanko của ESET, người đã phát hiện ra các ứng dụng ngụy trang bằng Trojan, cho biết:
“Mục đích chính của phần mềm clipper mà chúng tôi phát hiện là thu thập tin nhắn của nạn nhân và thay thế địa chỉ ví tiền điện tử đã gửi và nhận bằng địa chỉ của kẻ tấn công. Bên cạnh các ứng dụng WhatsApp và Telegram dựa trên Android được ngụy trang bằng trojan, chúng tôi cũng đã phát hiện các phiên bản Windows ẩn chứa trojan của cùng các ứng dụng đó.”
Các phiên bản ngụy trang bằng Trojan của các ứng dụng này có các tính năng khác nhau, mặc dù chúng phục vụ cùng một mục đích. Phần mềm clipper dựa trên Android được đánh giá là phần mềm độc hại dựa trên Android đầu tiên sử dụng OCR để đọc văn bản từ ảnh chụp màn hình và ảnh được lưu trữ trên thiết bị của nạn nhân. OCR được sử dụng để tìm và phát cụm từ khóa. Cụm từ khóa là mã ghi nhớ, một tập hợp các từ được sử dụng để khôi phục ví tiền điện tử. Ngay khi các tác nhân độc hại nắm được cụm từ khóa, chúng có thể trực tiếp đánh cắp tất cả các loại tiền điện tử trong ví tương ứng.
Phần mềm độc hại gửi địa chỉ ví tiền điện tử của nạn nhân cho kẻ tấn công. sohbet thay thế nó bằng địa chỉ. Nó thực hiện điều này với các địa chỉ trực tiếp trong chương trình hoặc được lấy tự động từ máy chủ của kẻ tấn công. Ngoài ra, phần mềm giám sát các tin nhắn Telegram để phát hiện các từ khóa cụ thể liên quan đến tiền điện tử. Ngay khi phần mềm phát hiện ra một từ khóa như vậy, nó sẽ chuyển tiếp toàn bộ thông báo đến máy chủ của kẻ tấn công.
Nghiên cứu của ESET đã phát hiện các trình cài đặt Telegram và WhatsApp dựa trên Windows có chứa trojan truy cập từ xa (RAT), cũng như các phiên bản Windows của phần mềm clipper thay đổi địa chỉ ví này. Dựa trên mô hình ứng dụng, người ta phát hiện ra rằng một trong những gói độc hại dựa trên Windows không phải là phần mềm clipper mà là RAT có thể kiểm soát hoàn toàn hệ thống của nạn nhân. Do đó, những RAT này có thể đánh cắp ví tiền điện tử mà không chặn luồng ứng dụng.
Lukas Stefanko đã đưa ra lời khuyên sau đây về vấn đề này:
“Chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy và đáng tin cậy, chẳng hạn như Cửa hàng Google Play và không lưu trữ ảnh hoặc ảnh chụp màn hình không được mã hóa trên thiết bị của bạn có chứa thông tin quan trọng. Nếu bạn cho rằng mình có ứng dụng Telegram hoặc WhatsApp được ngụy trang bằng Trojan trên thiết bị của mình, hãy gỡ cài đặt thủ công các ứng dụng này khỏi thiết bị của bạn và tải xuống ứng dụng từ Google Play hoặc trực tiếp từ trang web hợp pháp. Nếu bạn nghi ngờ mình có ứng dụng Telegram độc hại trên thiết bị chạy Windows của mình, hãy sử dụng giải pháp bảo mật giúp phát hiện và loại bỏ mối đe dọa. Phiên bản chính thức duy nhất của WhatsApp dành cho Windows hiện có sẵn trong cửa hàng Microsoft.”