ESET Research ha descubierto por primera vez el llamado malware "clipper" incrustado en las aplicaciones de mensajería instantánea.
Sus perpetradores se aprovechan de la criptomoneda de las víctimas utilizando las aplicaciones Android y Windows Telegram y WhatsApp infectadas con troyanos.
El malware puede reemplazar las direcciones de las billeteras de criptomonedas que las víctimas envían en los mensajes de chat con direcciones que pertenecen al atacante.
Algunos de los cortadores incluso usan el reconocimiento de caracteres para extraer texto de capturas de pantalla y robar frases de recuperación de billeteras de criptomonedas.
Además de clippers, ESET también descubrió troyanos de acceso remoto incrustados en versiones maliciosas de WhatsApp y Telegram en Windows.
Investigadores de ESET, el proveedor de soluciones de seguridad líder en Europa, han descubierto docenas de sitios web falsos de Telegram y WhatsApp, dirigidos principalmente a usuarios de Android y Windows a través de versiones de estas aplicaciones de mensajería instantánea. La mayoría de las aplicaciones maliciosas que hemos identificado se llaman "clippers", un tipo de malware que roba o modifica el contenido del portapapeles. Todos ellos están interesados en los fondos de criptomonedas de las víctimas, y varios de ellos apuntan a las billeteras de criptomonedas. Esta fue la primera vez que ESET Research encontró clippers en Android enfocados específicamente en la mensajería instantánea. Parte de este malware incluso usa reconocimiento óptico de caracteres (OCR) para reconocer texto en capturas de pantalla almacenadas en dispositivos comprometidos, que es otra novedad para el malware de Android.
Dado el idioma utilizado en las aplicaciones secuestradas, parece que los operadores apuntan principalmente a usuarios de habla china. Telegram y WhatsApp están bloqueados en China desde hace varios años; desde 2015 para Telegram y desde 2017 para WhatsApp. Las personas que deseen utilizar estos servicios deberán recurrir a medios indirectos para obtenerlos.
Los actores de amenazas primero configuraron anuncios de Google que conducían a canales de YouTube fraudulentos, que luego redirigirían a los usuarios a sitios web que imitaban a los de Telegram y WhatsApp. ESET Research informó de inmediato los anuncios fraudulentos y los canales de YouTube correspondientes a Google, que los cerró de inmediato.
“El objetivo principal de los clippers que descubrimos es interceptar las comunicaciones por correo electrónico de la víctima y reemplazar todas las direcciones de billetera de criptomonedas enviadas y recibidas con direcciones que pertenecen a los atacantes. Además de las versiones de Android de las aplicaciones de WhatsApp y Telegram, también encontramos versiones de Windows”, explica Lukáš Štefanko, el investigador de ESET que descubrió las aplicaciones maliciosas.
Aunque tienen el mismo propósito, las versiones maliciosas de estas aplicaciones contienen diferentes funciones adicionales. Los Clippers analizados en Android son el primer ejemplo de malware de Android que usa OCR para leer texto en capturas de pantalla y fotos almacenadas en el dispositivo de la víctima. Se implementa OCR para encontrar y robar la frase de contraseña. Este código mnemotécnico compuesto por una serie de palabras se utiliza para recuperar billeteras de criptomonedas. Una vez que los ciberdelincuentes obtienen una frase de contraseña, pueden robar directamente todas las criptomonedas en la billetera asociada.
En otro caso, el malware simplemente reemplaza la dirección de la billetera de criptomonedas de la víctima con la del atacante en las comunicaciones por correo electrónico. Las direcciones están codificadas de forma rígida o se recuperan dinámicamente del servidor del atacante. En otro caso, el malware monitorea las comunicaciones de Telegram en busca de ciertas palabras clave relacionadas con criptomonedas. Cuando se reconoce dicha palabra clave, el malware envía el mensaje completo al servidor del atacante.
ESET Research también encontró versiones de Windows de cortadores sustitutos de billetera, así como instaladores de Telegram y WhatsApp para Windows que incorporan troyanos de acceso remoto. Estos se desvían del patrón establecido. No cuentan con una cortadora, sino con una herramienta de acceso remoto que permite el control total del sistema de la víctima. De esta forma, los ciberdelincuentes pueden robar monederos de criptomonedas sin interceptar el flujo de la aplicación.
“Solo instale aplicaciones de fuentes confiables, como Google Play, y no almacene imágenes o capturas de pantalla sin cifrar que contengan información confidencial en su dispositivo. Si cree que ha instalado una versión maliciosa de Telegram o WhatsApp, elimínela manualmente de su dispositivo y descargue la aplicación desde Google Play o directamente desde el sitio web legítimo”, aconseja Štefanko. “Para Windows, si cree que su aplicación Telegram es maliciosa, use una solución de seguridad para detectar la amenaza y eliminarla. La única versión oficial de WhatsApp para Windows está actualmente disponible en la tienda de Microsoft. »
Para obtener más información técnica sobre los clippers integrados en las aplicaciones de mensajería instantánea, consulte el artículo "Mensajería no tan privada: las aplicaciones troyanas de WhatsApp y Telegram persiguen las billeteras de criptomonedas" en WeLiveSecurity. Siga a ESET Research en Twitter.
Acerca de ESET
Durante más de 30 años, ESET® ha estado desarrollando software y servicios de seguridad de TI para proteger los activos digitales corporativos, la infraestructura crítica y los consumidores de todo el mundo contra las ciberamenazas. Protegemos terminales fijos y móviles, herramientas colaborativas y proporcionamos detección y tratamiento de incidencias. Establecidos en todo el mundo, nuestros centros de I+D recopilan y analizan amenazas cibernéticas para proteger a nuestros clientes y nuestro mundo digital.