A equipe de pesquisa da ESET descobriu dezenas de sites que se passam pelo Telegram e WhatsApp, visando usuários de Android e Windows, com versões trojanizadas dos aplicativos de mensagens.
A maioria dos apps maliciosos identificados são clippers, e é a primeira vez que a ESET vê o uso desse tipo de malware para Android disfarçados de aplicativos de mensagens instantâneas.
Além disso, alguns desses apps usam reconhecimento óptico de caracteres (OCR) para reconhecer o texto de capturas de tela armazenadas em dispositivos comprometidos, outra novidade para o malware Android.
O clipper é um malware que rouba ou modifica o conteúdo armazenado na área de transferência. Esse tipo de código malicioso é atraente para os cibercriminosos interessados em roubar criptomoedas, pois os endereços das carteiras on-line são compostos de longas cadeias de caracteres e, ao invés de digitá-los, os usuários tendem a copiar e colar os endereços.
Roubo de Bitcoin
Ao usar esse tipo de malware é possível interceptar o conteúdo da área de transferência e roubar qualquer endereço de carteira de criptomoeda copiado.
‘Não apenas os primeiros clippers foram identificados em aplicativos de mensagens instantâneas, mas vários grupos deles foram descobertos. O principal objetivo dos clippers é interceptar comunicações nos aplicativos de mensagens que a vítima usa e substituir quaisquer endereços de carteira de criptomoeda enviados e recebidos por endereços pertencentes aos invasores’, explica Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
A ESET observou que os aplicativos se comportam de maneiras diferentes. Ao colar o endereço da carteira de criptomoedas, a vítima que usa a versão maliciosa do aplicativo Telegram continuará a ver o endereço original até que o aplicativo seja reiniciado – depois disso, o endereço exibido será o que pertence ao invasor.
No WhatsApp, a vítima verá o seu próprio endereço nas mensagens enviadas, mas o destinatário da mensagem receberá o endereço do invasor.
De acordo com análise da ESET, os operadores por trás dessas ameaças compram anúncios do Google que ficam no topo da página de pesquisa e levam a canais fraudulentos do YouTube, de lá, as vítimas são redirecionadas para as versões falsas dos aplicativos de mensagem.
Além disso, um grupo do Telegram em particular também anunciou uma versão maliciosa do aplicativo que afirmava ter um serviço de proxy gratuito fora da China. Quando a ESET descobriu esses anúncios fraudulentos e canais relacionados do YouTube, informou o Google, que os encerrou imediatamente.