A maioria das apps maliciosas detetadas pela ESET são clippers – malware que verifica constantemente uma área de armazenamento temporária, ou clipboard, com dados que o utilizador pretende copiar de um local para outro, em busca de carteiras de criptomoeda.
A ESET descobriu websites falsos de Telegram e WhatsApp que visam sobretudo utilizadores de Android e Windows com versões falsas daquelas apps de mensagens instantâneas. A maioria das apps maliciosas detetadas são clippers – malware que verifica constantemente dados copiados pelo utilizador, neste caso, para roubar fundos de criptomoeda. Algumas destas apps usam inclusive reconhecimento ótico de caracteres para reconhecer texto em imagens armazenadas nos dispositivos atacados – uma estreia absoluta em malware Android.
Os operadores destas aplicações fraudulentas visam principalmente utilizadores de língua chinesa e não é por acaso: tanto o Telegram como o WhatsApp estão bloqueados na China há vários anos. Para obter estas aplicações, os utilizadores têm de recorrer a canais não oficiais, ficando mais expostos a ciberameaças.
A campanha foi iniciada através de Google Ads que conduziam para canais de YouTube fraudulentos. Por sua vez, esses canais de YouTube encaminhavam os utilizadores para os websites falsos de Telegram e WhatsApp. A ESET reportou de imediato os anúncios fraudulentos e canais de YouTube relacionados à Google, que os encerrou prontamente.
Funcionalidades das apps falsas
A função de reconhecimento de texto em imagens armazenadas nos dispositivos das vítimas (também conhecido por “optical character recognition” – OCR) está implementada nestas aplicações falsas de WhatsApp e Telegram para procurar e encontrar uma frase seed – um código mnemónico constituído por séries de palavras usadas para recuperar carteiras de criptomoeda. Ao obterem essa frase seed, os agentes maliciosos podem facilmente roubar a criptomoeda diretamente da carteira associada.
“O principal objetivo dos clippers que descobrimos é intercetar as comunicações de mensagens da vítima e substituir quaisquer endereços de carteiras de criptomoeda enviadas e recebidas por endereços pertencentes aos cibercriminosos. Para além das apps WhatsApp e Telegram Android falsas, também encontrámos versões Windows falsas das mesmas aplicações”, comentou a propósito o investigador da ESET Lukáš Štefanko.