ESET Research hat zum ersten Mal sogenannte „Clipper“-Malware entdeckt, die in Instant-Messaging-Anwendungen eingebettet ist.
Ihre Täter machen Jagd auf die Kryptowährung der Opfer, indem sie mit Trojanern infizierte Android- und Windows-Telegram- und WhatsApp-Apps verwenden.
Die Malware ist in der Lage, die Adressen von Kryptowährungs-Wallets, die Opfer in Chat-Nachrichten senden, durch Adressen des Angreifers zu ersetzen.
Einige der Clipper verwenden sogar die Zeichenerkennung, um Text aus Screenshots zu extrahieren und Wiederherstellungsphrasen aus Kryptowährungs-Wallets zu stehlen.
Neben Clippern hat ESET auch Trojaner für den Fernzugriff entdeckt, die in schädliche Versionen von WhatsApp und Telegram unter Windows eingebettet sind.
Forscher von ESET, Europas führendem Anbieter von Sicherheitslösungen, haben Dutzende von gefälschten Telegram- und WhatsApp-Websites aufgedeckt, die sich hauptsächlich an Android- und Windows-Benutzer über pferdegerittene Versionen dieser Instant-Messaging-Apps richten. Die meisten der von uns identifizierten schädlichen Apps heißen „Clippers“, eine Art von Malware, die den Inhalt der Zwischenablage stiehlt oder modifiziert. Alle von ihnen sind an den Kryptowährungsgeldern der Opfer interessiert, und einige von ihnen zielen auf Kryptowährungs-Wallets ab. Dies war das erste Mal, dass ESET Research auf Clippers auf Android stieß, die sich speziell auf Instant Messaging konzentrierten. Einige dieser Malware verwenden sogar die optische Zeichenerkennung (OCR), um Text in Screenshots zu erkennen, die auf kompromittierten Geräten gespeichert sind, was eine weitere Premiere für Android-Malware darstellt.
Angesichts der Sprache, die in den entführten Anwendungen verwendet wird, scheinen die Betreiber hauptsächlich chinesischsprachige Benutzer anzusprechen. Telegram und WhatsApp sind in China seit mehreren Jahren gesperrt; seit 2015 für Telegram und seit 2017 für WhatsApp. Personen, die diese Dienste nutzen möchten, müssen auf indirekte Mittel zurückgreifen, um sie zu erhalten.
Die Angreifer richteten zunächst Google-Anzeigen ein, die zu betrügerischen YouTube-Kanälen führten, die die Nutzer dann auf Websites umleiteten, die denen von Telegram und WhatsApp nachahmten. ESET Research meldete die betrügerischen Anzeigen und die entsprechenden YouTube-Kanäle sofort an Google, das sie umgehend abschaltete.
„Der Hauptzweck der von uns entdeckten Clipper besteht darin, die E-Mail-Kommunikation des Opfers abzufangen und alle gesendeten und empfangenen Kryptowährungs-Wallet-Adressen durch Adressen der Angreifer zu ersetzen. Neben den Android-Versionen der WhatsApp- und Telegram-Apps haben wir auch Windows-Versionen gefunden“, erklärt Lukáš Štefanko, der ESET-Forscher, der die schädlichen Apps entdeckt hat.
Obwohl sie denselben Zweck erfüllen, enthalten bösartige Versionen dieser Apps verschiedene zusätzliche Funktionen. Auf Android analysierte Clippers sind das erste Beispiel für Android-Malware, die OCR verwendet, um Text in Screenshots und Fotos zu lesen, die auf dem Gerät des Opfers gespeichert sind. OCR wird eingesetzt, um die Passphrase zu finden und zu stehlen. Dieser mnemonische Code, der aus einer Reihe von Wörtern besteht, wird verwendet, um Kryptowährungs-Wallets abzurufen. Sobald Cyberkriminelle eine Passphrase erhalten, können sie direkt alle Kryptowährungen in der zugehörigen Wallet stehlen.
In einem anderen Fall ersetzt die Malware in der E-Mail-Kommunikation einfach die Kryptowährungs-Wallet-Adresse des Opfers durch die des Angreifers. Adressen sind entweder fest codiert oder werden dynamisch vom Server des Angreifers abgerufen. In einem weiteren Fall überwacht die Malware die Telegram-Kommunikation auf bestimmte kryptowährungsbezogene Schlüsselwörter. Wenn ein solches Schlüsselwort erkannt wird, sendet die Malware die vollständige Nachricht an den Server des Angreifers.
ESET Research hat auch Windows-Versionen von Wallet-Ersatz-Clippern sowie Telegram- und WhatsApp-Installationsprogramme für Windows gefunden, die Fernzugriffstrojaner einbetten. Diese weichen vom etablierten Muster ab. Sie verfügen nicht über einen Clipper, sondern über ein Fernzugriffstool, das die vollständige Kontrolle über das System des Opfers ermöglicht. Auf diese Weise können Cyberkriminelle Kryptowährungs-Wallets stehlen, ohne den Fluss der Anwendung abzufangen.
„Installieren Sie nur Apps aus vertrauenswürdigen Quellen wie Google Play und speichern Sie keine unverschlüsselten Bilder oder Screenshots mit vertraulichen Informationen auf Ihrem Gerät. Wenn Sie glauben, dass Sie eine schädliche Version von Telegram oder WhatsApp installiert haben, entfernen Sie sie manuell von Ihrem Gerät und laden Sie die App entweder von Google Play oder direkt von der legitimen Website herunter“, rät Štefanko. „Wenn Sie unter Windows denken, dass Ihre Telegram-App bösartig ist, verwenden Sie eine Sicherheitslösung, um die Bedrohung zu erkennen und zu entfernen. Die einzige offizielle Version von WhatsApp für Windows ist derzeit im Microsoft Store erhältlich. »
Weitere technische Informationen zu Clippern, die in Instant-Messaging-Apps eingebettet sind, finden Sie im Artikel „Not-so-private messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets“ auf WeLiveSecurity. Folgen Sie ESET Research auf Twitter.
Ãœber ESET
Seit mehr als 30 Jahren entwickelt ESET® IT-Sicherheitssoftware und -dienste, um digitale Unternehmensressourcen, kritische Infrastrukturen und Verbraucher auf der ganzen Welt vor Cyber-Bedrohungen zu schützen. Wir schützen feste und mobile Endgeräte, kollaborative Tools und bieten die Erkennung und Verarbeitung von Vorfällen. Unsere weltweit etablierten F&E-Zentren sammeln und analysieren Cyber-Bedrohungen, um unsere Kunden und unsere digitale Welt zu schützen.