נחשפו אפליקציות ווטסאפ וטלגרם זדוניות המשמשות לגניבת מטבעות דיגיטליים
מאת:
מערכת Telecom News, 20.3.23, 12:03
האפליקציות כוונו בעיקר למשתמשי Android ו-Windows. זו פעם ראשונה שזוהו נוזקות ״העתק הדבק״ ל-Android, שמתמקדות בעיקר במסרים מיידיים ופעם ראשונה שזוהה שימוש של נוזקות אנדרואיד במנגנונים לזיהוי כתב מתוך תמונה כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו.
חוקרי חברת אבטחת המידע
ESET גילו עשרות אתרי חיקוי של ווטסאפ וטלגרם, שכוונו בעיקר למשתמשי
Android ו-
Windows, וכללו גרסאות נגועות
בסוסים טרויאניים.
מרבית האפליקציות הזדוניות שזוהו הן מסוג ״העתק הדבק״ - נוזקות, שגונבות את תוכן לוח הכתיבה (
clipboard) או משנות אותו. כל הנוזקות מכוונות לגניבת המטבעות הדיגיטליים של הקורבנות, כשחלק מהן כוונו גם אל הארנקים הדיגיטליים עצמם.
זו הפעם הראשונה שבה גוף המחקר של
ESET נתקל בנוזקות ״העתק הדבק״ ל-
Android, שמתמקדות בעיקר במסרים מיידיים. בנוסף, חלק מהאפליקציות השתמשו במנגנונים לזיהוי כתב מתוך תמונה כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו, וגם זה מקרה ראשון שאותר בנוזקות
Android.
על פי השפה בה השתמשו בתוכנות המזויפות נראה, שהעומדים מאחוריה כיוונו מתקפות בעיקר למשתמשים דוברי סינית. מכיוון שגם טלגרם וגם ווטסאפ חסומות בסין מזה מספר שנים (ווטסאפ חסומה החל מ-2017 וטלגרם חסומה החל מ-2015), אנשים, שרוצים להשתמש בשירותים האלה, נאלצים להשיג את התוכנות באמצעים עקיפים.
התוקפים הקימו מודעות גוגל, שמובילות לערוצי יוטיוב ובהם סרטונים, שהובילו את הצופים לאתרים המתחזים לוואטסאפ וטלגרם. בחברה דיווחו על המודעות המזויפות ועל ערוצי היוטיוב הרלוונטיים לגוגל, שסגרה את כולם.
על אף שהן משרתות את אותה המטרה הכללית, הגרסאות המודבקות של האפליקציות הציעו מספר פונקציות נוספות. נוזקות ה״העתק הדבק״ ל-
Android שאותרו הן המקרה הראשון של נוזקה ל-
Android המשתמשת במנגנון לזיהוי כתב מתוך תמונה כדי לקרוא טקסט מתוך צילומי מסך ותמונות המאוחסנות על המכשיר של הקורבן.
המנגנון לזיהוי כתב מתוך תמונה נועד לאתר ולגנוב סיסמה ראשונית (
seed phrase), שהיא קוד מילולי המורכב מסדרת מילים המשמשת לשחזור ארנקי מטבעות דיגיטליים. לאחר שהתוקפים משיגים את הסיסמה הראשונית הזו, הם יכולים לגנוב את כל המטבעות הדיגיטליים ישירות מהארנק שאליו הם מקושרים.
במקרה אחר, הנוזקה פשוט החליפה את כתובת הארנק הדיגיטלי של הקורבן בזו של התוקף בכל הודעת צ׳ט, שנשלחה או התקבלה, כשהכתובות היו מאוחסנות בתוך זיכרון הנוזקה או הורדו משרת התוקף.
במקרה נוסף, הנוזקה חיפשה מילים ספציפיות הקשורות למטבעות דיגיטליים בתוך הודעות טלגרם. לאחר שזוהתה מילה כזו, הנוזקה שלחה את ההודעה המלאה לשרת התוקף.
לוקאס סטפנקו, חוקר
ESET, שגילה את האפליקציות הנגועות
: ״המטרה העיקרית של נוזקות ה'העתק הדבק' שגילינו היא יירוט תקשורת המסרים של הקורבן והחלפת כתובות הארנקים, שנשלחו והתקבלו בכתובות השייכות לתוקפים. בנוסף לגרסאות המודבקות של האפליקציות המיועדות ל-
Android, מצאנו גם גרסאות מודבקות ל-
Windows של אותן האפליקציות״.