I ricercatori di ESET hanno scoperto dozzine di siti web imitatori di Telegram e WhatsApp rivolti principalmente agli utenti Android e Windows con versioni trojanizzate di queste app di messaggistica istantanea che attaccano i portafogli di criptovalute per rubare fondi.
La maggior parte delle app dannose identificate sono clipper, un tipo di malware che ruba o modifica il contenuto degli appunti. Lo scopo principale di questi clipper identificati è intercettare le comunicazioni di messaggistica della vittima e sostituire qualsiasi indirizzo di portafoglio di criptovaluta inviato e ricevuto con indirizzi appartenenti agli aggressori. Oltre alle app WhatsApp e Telegram Android trojanizzate, sono state trovate anche versioni Windows trojanizzate delle stesse app.
Naturalmente, queste non sono le uniche applicazioni imitatrici a inseguire le criptovalute, però questa è la prima volta che i ricercatori hanno visto clipper Android concentrati specificamente sulla messaggistica istantanea. Inoltre, alcune di queste app utilizzano il riconoscimento ottico dei caratteri (OCR) per riconoscere il testo dagli screenshot memorizzati sui dispositivi compromessi, un’altra novità per il malware Android.
In questo caso, a causa della diversa architettura di Telegram e WhatsApp, gli attori delle minacce hanno dovuto scegliere un approccio diverso per creare versioni trojanizzate di ciascuno dei due. Essendo Telegram è un’app open source, alterarne il codice mantenendo intatte le funzionalità di messaggistica dell’app è relativamente semplice. D’altra parte, il codice sorgente di WhatsApp non è pubblicamente disponibile, il che significa che prima di riconfezionare l’applicazione con codice dannoso, gli autori delle minacce dovevano prima eseguire un’analisi approfondita della funzionalità dell’app per identificare i punti specifici da modificare.
Nonostante abbiano lo stesso scopo generale, le versioni trojanizzate di queste app contengono varie funzionalità aggiuntive. I ricercatori hanno suddiviso le app in diversi cluster basati su tali funzionalità, descrivendo quattro cluster di clipper Android e due cluster di app Windows dannose.
Il cluster 1 dei clipper Android costituisce anche la prima istanza di malware Android che utilizza l’OCR per leggere il testo da schermate e foto memorizzate sul dispositivo della vittima. L’OCR viene utilizzato per trovare e rubare una frase seme, che è un codice mnemonico composto da una serie di parole utilizzate per recuperare i portafogli di criptovaluta. Una volta che gli attori malintenzionati entrano in possesso di una frase seme, sono liberi di rubare tutta la criptovaluta direttamente dal portafoglio associato.
Il Cluster 2, rispetto alla tecnologia avanzata utilizzata dal Cluster 1, è molto semplice: questo malware scambia semplicemente l’indirizzo del portafoglio di criptovaluta della vittima con l’indirizzo dell’attaccante nella comunicazione chat, con gli indirizzi che vengono codificati o recuperati dinamicamente dal server dell’attaccante. Questo è l’unico cluster Android in cui i ricercatori hanno identificato campioni WhatsApp trojan oltre a Telegram.
Il cluster 3 monitora la comunicazione di Telegram per determinate parole chiave relative alle criptovalute. Una volta riconosciuta tale parola chiave, il malware invia il messaggio completo al server dell’attaccante.
Infine, i clipper Android nel Cluster 4 non solo cambiano l’indirizzo del portafoglio della vittima, ma esfiltrano anche i dati interni di Telegram e le informazioni di base sul dispositivo.
Per quanto riguarda il malware di Windows, esisteva un cluster di clipper di criptovaluta di Telegram i cui membri intercettavano e modificavano semplicemente i messaggi di Telegram per cambiare gli indirizzi del portafoglio di criptovaluta, proprio come il secondo cluster di clipper di Android. La differenza sta nel codice sorgente della versione Windows di Telegram, che ha richiesto ulteriori analisi da parte dei malintenzionati, per poter implementare l’inserimento del proprio indirizzo di portafoglio.
Diversamente dal modello stabilito, il secondo cluster di Windows non è composto da clipper, ma da trojan di accesso remoto (RAT) che consentono il pieno controllo del sistema della vittima. In questo modo, i RAT sono in grado di rubare portafogli di criptovaluta senza intercettare il flusso dell’applicazione.
Sulla base della lingua utilizzata nelle applicazioni copycat, i ricercatori spiegano che sembra che gli operatori dietro di loro si rivolgano principalmente agli utenti di lingua cinese.
Poiché sia Telegram che WhatsApp sono bloccati in Cina ormai da diversi anni, con Telegram bloccato dal 2015 e WhatsApp dal 2017, le persone che desiderano utilizzare questi servizi devono ricorrere a mezzi indiretti per ottenerli. Ciò costituisce un’opportunità per i criminali informatici di abusare della situazione.
Negli attacchi descritti, gli attori delle minacce hanno prima impostato Google Ads che porta a canali YouTube fraudolenti, che poi reindirizzano gli sfortunati spettatori a imitare i siti Web di Telegram e WhatsApp. Inoltre, un particolare gruppo di Telegram ha anche pubblicizzato una versione dannosa dell’app che affermava di avere un servizio proxy gratuito al di fuori della Cina (i ricercatori, una volta scoperto questi annunci fraudolenti e i relativi canali YouTube, li hanno segnalati a Google, che li ha prontamente bloccati tutti).
I ricercatori hanno trovato vari tipi di codice dannoso riconfezionati con le app legittime di Telegram e WhatsApp, che sembrano non essere state tutte sviluppate dallo stesso autore di minacce. Oltre alla maggior parte delle app dannose in grado di sostituire gli indirizzi di criptovaluta nelle comunicazioni di Telegram e WhatsApp, non ci sono indicazioni di ulteriori connessioni tra di loro.
Mentre i falsi siti Web offrono collegamenti per il download per tutti i sistemi operativi in cui sono disponibili Telegram e WhatsApp, tutti i collegamenti Linux e macOS, così come la maggior parte dei collegamenti iOS, reindirizzano ai siti Web ufficiali dei servizi. Nel caso dei pochi collegamenti iOS che portano a siti Web fraudolenti, le app non erano più disponibili per il download al momento dell’analisi, spiega ESET. Gli utenti Windows e Android costituiscono quindi i principali bersagli degli attacchi.
“Durante la nostra ricerca sulle app Telegram e WhatsApp trojanizzate distribuite attraverso siti Web imitatori, abbiamo scoperto i primi casi di clipper Android che intercettano i messaggi istantanei e scambiano gli indirizzi dei portafogli di criptovaluta delle vittime con l’indirizzo dell’aggressore. Inoltre, alcuni clipper hanno abusato dell’OCR per estrarre frasi mnemoniche dalle immagini salvate sui dispositivi delle vittime, un uso dannoso della tecnologia di lettura dello schermo che abbiamo visto per la prima volta.
Abbiamo anche trovato versioni Windows dei clipper che cambiano portafogli, nonché programmi di installazione di Telegram e WhatsApp per Windows in bundle con trojan di accesso remoto. Attraverso i loro vari moduli, i RAT consentono agli aggressori di controllare le macchine delle vittime”, concludono i ricercatori di ESET.