ESET tyrėjai nustatė Trojanizuotas WhatsApp ir Telegram programų versijas, taip pat dešimtis kopijuojančių svetainių, skirtų toms momentinių pranešimų programoms, kurios yra specialiai skirtos „Android“ ir „Windows“ naudotojams. Dauguma aptiktų kenkėjiškų programų yra kirpimo programa, kuri pavagia arba pakeičia mainų srities turinį. Visa nagrinėjama programinė įranga bando pavogti aukų kriptovaliutas, o kai kurios taikosi į kriptovaliutų pinigines. Pirmą kartą ESET Research aptiko „Android“ pagrįstą kirpimo programinę įrangą, specialiai skirtą momentinių pranešimų programoms. Be to, kai kurios iš šių programų naudoja optinį simbolių identifikavimą (OCR), kad išskirtų tekstą iš ekrano kopijų, išsaugotų pažeistuose įrenginiuose. Tai dar vienas pirmasis „Android“ pagrindu veikiančios kenkėjiškos programos.
„Sukčiai bando užgrobti kriptovaliutų pinigines naudodamiesi momentinių pranešimų programėlėmis“
Ištyrus imitacinėse programose naudojamą kalbą, paaiškėjo, kad žmonės, naudojantys šią programinę įrangą, buvo ypač orientuoti į kiniškai kalbančius vartotojus. Kadangi „Telegram“ ir „WhatsApp“ Kinijoje buvo uždraustos atitinkamai nuo 2015 ir 2017 m., žmonės, norintys naudotis šiomis programėlėmis, turėjo griebtis netiesioginių priemonių. Aptariami grėsmės veikėjai pirmiausia yra netikri. YouTube Jis sukūrė „Google Ads“, kuri nukreipia vartotojus į jų kanalus, o tada nukreipia į „Telegram“ ir „WhatsApp“ svetaines. ESET Research nepašalina šių melagingų ir susijusių skelbimų YouTube pranešė apie savo kanalus „Google“, o „Google“ iš karto nutraukė visų šių reklamų ir kanalų naudojimą.
ESET tyrėjas Lukášas Štefanko, aptikęs Trojos arklys užmaskuotas programas, sakė:
„Pagrindinis mūsų aptiktos kirpimo programinės įrangos tikslas yra užfiksuoti aukos pranešimus ir pakeisti išsiųstus bei gautus kriptovaliutų piniginės adresus užpuoliko adresais. Be Trojos arklys užmaskuotų „Android“ pagrįstų „WhatsApp“ ir „Telegram“ programų, mes taip pat aptikome Trojos arklių paslėptas tų pačių programų „Windows“ versijas.
Trojos arklys užmaskuotos šių programų versijos turi skirtingas funkcijas, nors jos atlieka tą patį tikslą. Apžvelgta „Android“ pagrindu sukurta kirpimo mašinų programinė įranga yra pirmoji „Android“ pagrindu veikianti kenkėjiška programa, kuri naudoja OCR, kad nuskaitytų tekstą iš ekrano kopijų ir nuotraukų, saugomų aukos įrenginyje. OCR naudojamas pagrindinei frazei rasti ir paleisti. Pagrindinė frazė yra mnemoninis kodas, žodžių rinkinys, naudojamas atgauti kriptovaliutų pinigines. Kai tik piktybiški veikėjai gauna raktinę frazę, jie gali tiesiogiai pavogti visas atitinkamoje piniginėje esančias kriptovaliutas.
Kenkėjiška programa užpuolikui siunčia aukos kriptovaliutos piniginės adresą. sohbet pakeičia jį adresu. Tai daroma su adresais tiesiogiai programoje arba dinamiškai gautais iš užpuoliko serverio. Be to, programinė įranga stebi „Telegram“ pranešimus, kad aptiktų konkrečius raktinius žodžius, susijusius su kriptovaliutomis. Kai tik programinė įranga aptinka tokį raktinį žodį, ji visą pranešimą persiunčia į užpuoliko serverį.
ESET Research aptiko „Windows“ pagrindu veikiančias „Telegram“ ir „WhatsApp“ diegimo programas, kuriose yra nuotolinės prieigos Trojos arklys (RAT), taip pat šios piniginės adresą keičiančios kirpimo programinės įrangos „Windows“ versijos. Remiantis programos modeliu, buvo aptikta, kad vienas iš Windows pagrįstų kenkėjiškų paketų buvo ne kirpimo programinė įranga, o RAT, galintys visiškai kontroliuoti aukos sistemą. Taigi šie RAT gali pavogti kriptovaliutų pinigines nepertraukdami programų srauto.
Šiuo klausimu Lukas Stefanko davė tokį patarimą:
„Įdiekite programas tik iš patikimų šaltinių, pvz., „Google Play“ parduotuvės, ir nelaikykite savo įrenginyje nešifruotų paveikslėlių ar ekrano kopijų, kuriose yra svarbios informacijos. Jei manote, kad jūsų įrenginyje yra Trojos arklio užmaskuota programa „Telegram“ arba „WhatsApp“, rankiniu būdu pašalinkite šias programas iš savo įrenginio ir atsisiųskite programą iš „Google Play“ arba tiesiogiai iš teisėtos svetainės. Jei įtariate, kad jūsų Windows įrenginyje yra kenkėjiška Telegram programa, naudokite saugos sprendimą, kuris aptinka ir pašalina grėsmę. Vienintelė oficiali „WhatsApp for Windows“ versija šiuo metu yra „Microsoft“ parduotuvėje.