Ciberseguridad 360 | Webs parecidas a Telegram y WhatsApp distribuyen malware que roba criptomonedas

Cryptocurrency Stealing Malware

Se est�n utilizando sitios web de imitaci�n de aplicaciones de mensajer�a instant�nea como Telegram y WhatApp para distribuir versiones troyanizadas e infectar a los usuarios de Android y Windows con malware de recorte de criptomonedas.

"Todos ellos est�n detr�s de los fondos de criptomoneda de las v�ctimas, con varios dirigidos a billeteras de criptomoneda", dijeron los investigadores de ESET Luk�? ?tefanko y Peter Str�?ek en un nuevo an�lisis.

Si bien la primera instancia de malware clipper en Google Play Store se remonta a 2019, el desarrollo marca la primera vez que el malware clipper basado en Android se ha incorporado en aplicaciones de mensajer�a instant�nea.

"Adem�s, algunas de estas aplicaciones utilizan el reconocimiento �ptico de caracteres (OCR) para reconocer el texto de las capturas de pantalla almacenadas en los dispositivos comprometidos, que es otra primicia para el malware de Android", agreg� la firma eslovaca de ciberseguridad.

La cadena de ataques comienza cuando los usuarios desprevenidos hacen clic en anuncios fraudulentos en los resultados de b�squeda de Google que llevan a cientos de canales de YouTube sospechosos, que a su vez les dirigen a sitios web de Telegram y WhatsApp similares.

Lo novedoso del �ltimo lote de malware clipper es que es capaz de interceptar los chats de la v�ctima y sustituir cualquier direcci�n de monedero de criptomoneda enviada y recibida por direcciones controladas por los actores de la amenaza.

Otro grupo de malware clipper utiliza OCR para encontrar y robar frases semilla aprovechando un complemento leg�timo de aprendizaje autom�tico llamado ML Kit en Android, lo que permite vaciar las carteras.

Un tercer cl�ster est� dise�ado para vigilar las conversaciones de Telegram en busca de determinadas palabras clave chinas relacionadas con las criptomonedas, tanto codificadas como recibidas desde un servidor, y si es as�, exfiltrar el mensaje completo, junto con el nombre de usuario, el grupo o el nombre del canal, a un servidor remoto.

Por �ltimo, un cuarto conjunto de clippers Android vienen con capacidades para cambiar la direcci�n de la cartera, as� como la informaci�n del dispositivo de cosecha y los datos de Telegram, tales como mensajes y contactos.

Todas las muestras de RAT analizadas se basan en el Gh0stRAT disponible p�blicamente, excepto una, que emplea m�s comprobaciones en tiempo de ejecuci�n antian�lisis durante su ejecuci�n y utiliza la biblioteca HP-socket para comunicarse con su servidor.

Tambi�n vale la pena se�alar que estos grupos, a pesar de seguir un modus operandi id�ntico, representan conjuntos dispares de actividad probablemente desarrollados por diferentes actores de amenazas.

La campa�a, al igual que una operaci�n cibern�tica maliciosa similar que sali� a la luz el a�o pasado, est� dirigida a usuarios de habla china, motivada principalmente por el hecho de que tanto Telegram como WhatsApp est�n bloqueados en el pa�s.

"Las personas que desean utilizar estos servicios tienen que recurrir a medios indirectos para obtenerlos", afirman los investigadores. "Como era de esperar, esto constituye una oportunidad propicia para que los ciberdelincuentes abusen de la situaci�n".

A continuaci�n se enumeran los nombres de los paquetes APK fraudulentos para Android

org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp

ESET afirma que tambi�n ha encontrado dos clusters basados en Windows, uno de ellos dise�ado para intercambiar direcciones de monederos y un segundo grupo que distribuye troyanos de acceso remoto (RAT) en lugar de clippers para hacerse con el control de los hosts infectados y perpetrar el robo de criptomonedas.

Fuente: thehackernews