APLIKÁCIE A HRYBezpečnosťSpravodajstvo
Tieto podvodné WhatsApp a Telegram aplikácie vám môžu vybieliť účet, varuje ESET. Tu je ich zoznam!
ESET upozorňuje na podvodné WhatsApp a Telegram aplikácie, ktoré dokážu vybieliť obetiam účet.
Nie je žiadnym tajomstvom, že hackeri sa snažia na úkor obetí získať prospech. Častokrát za týmto účelom vyvíjajú užitočné aplikácie, ktoré na pozadí napríklad kradnú dáta alebo peniaze. Jednou z častých metód útočníkov je schovávať škodlivé aplikácie za logá známych služieb. Nie je tomu inak ani v prípade WhatsAppu alebo Telegramu, informuje ESET.
Falošné aplikácie WhatsAppu a Telegramu vás môžu pripraviť o peniaze
Odborníci na kyberbezpečnosť hlásia, že sa im podarilo identifikovať hneď niekoľko podvodných aplikácií, ktoré sú šírené prostredníctvom falošných stránok, ktoré sa tvária ako oficiálne stránky služieb WhatsApp či Telegram. A hoci sa šíriace aplikácie môžu zdať ako užitočné, tak ich jediným cieľom je dostať sa k peniazom používateľov.
„Skompromitované verzie týchto aplikácií využívajú útočníci na krádež kryptomien. Väčšina identifikovaných škodlivých aplikácií obsahuje clippery, teda typ malvéru, ktorý kradne alebo upravuje obsah clipboardu (schránka, v ktorej sa nachádza súbor po skopírovaní). Všetky clippery idú po finančných prostriedkoch obetí v kryptomenách, pričom viaceré sa zameriavajú na kryptopeňaženky.“, vysvetľujú experti na bezpečnosť.
Odborníci z ESETU ďalej hovoria, že niektoré zo škodlivých aplikácií využívajú optické rozpoznávanie znakov (OCR) na identifikovanie textu zo snímok obrazovky v napadnutých zariadeniach. Ide o ďalšiu a prvýkrát pozorovanú schopnosť Android malvéru.
ESET vysvetľuje, že útočníci využívajú okrem iného na šírenie týchto aplikácií reklamy vo vyhľadávači Google, aby naviedli potenciálne obete na falošné stránky, cez ktoré si obeť stiahne podvodnú aplikáciu.
„Hlavným účelom objavených clipperov je zachytávať komunikáciu obete prostredníctvom správ a nahradiť všetky odoslané a prijaté adresy peňaženiek s kryptomenami adresami, ktoré patria útočníkom. Okrem skompromitovaných verzií aplikácií WhatsApp a Telegram pre Android sme našli aj škodlivé verzie tých istých aplikácií pre Windows,“ hovorí výskumník spoločnosti ESET Lukáš Štefanko, ktorý škodlivé aplikácie objavil.
Analytici hovoria, že škodlivý softvér pracuje pomerne sofistikovane. Pomocou OCR identifikuje začiatočnú frázu, resp. kľúčové slová, kde obeť spomína kryptomeny. Následne vykoná útok. Škodlivé aplikácie sú napríklad schopné v chatovacej aplikácii vymeniť adresu kryptomenovej peňaženky. Nižšie v príspevku na sociálnej sieti Lukáš Štefanko ukazuje príklad tohto škodlivého kódu, ako v odoslanej správe dôjde k zámene adresy peňaženky.
Neprehliadnite
Trojanized #WhatsApp and #Telegram apps replace cryptocurrency wallet addresses in messages
Some of them use OCR to recognize mnemonic phrase text from screenshots and photos stored on the devices to steal cryptocurrency funds https://t.co/Rt8V0BJdpV #Android #Windows pic.twitter.com/Efr9jQffnO
— Lukas Stefanko (@LukasStefanko) March 16, 2023
V ďalšom prípade škodlivý softvér monitoruje komunikáciu v službe Telegram na určité kľúčové slová týkajúce sa kryptomien. Po rozpoznaní takéhoto kľúčového slova malvér odošle celú správu na server útočníka. Hacker následne môže so správou ďalej pracovať a získať z nej citlivé informácie.
„Aplikácie inštalujte len z dôveryhodných a spoľahlivých zdrojov, ako je napríklad obchod Google Play, a neukladajte do svojho zariadenia nešifrované obrázky alebo snímky obrazovky obsahujúce citlivé informácie. Ak sa domnievate, že máte škodlivú verziu aplikácie Telegram alebo WhatsApp, ručne ju odstráňte zo svojho zariadenia a stiahnite si aplikáciu buď z Google Play, alebo priamo z legitímnej webovej stránky,“ radí Lukáš Štefanko. „V prípade systému Windows, ak máte podozrenie na škodlivú aplikáciu Telegram, použite bezpečnostné riešenie, ktoré hrozbu odhalí a odstráni ju za vás. Jediná oficiálna verzia aplikácie WhatsApp pre Windows je v súčasnosti dostupná v obchode spoločnosti Microsoft.“
Týmto aplikáciám sa vyhnete
ESET celkovo identifikoval necelých 40 škodlivých aplikácií. Ich zoznam si môžete pozrieť nižšie.
SHA-1 | Názov inštalačného súboru | OS/Typ vírusu |
C3ED82A01C91303C0BEC36016D817E21615EAA07 | org.telegram.messenger | Android/Clipper.I |
8336BF07683F40B38840865C60DB1D08F1D1789D | org.telegram.messenger | Android/Clipper.I |
E67065423DA58C0025E411E8E56E0FD6BE049474 | org.tgplus.messenger | Android/Clipper.J |
014F1E43700AB91C8C5983309751D952101B8ACA | org.telegram.messenger | Android/Clipper.K |
259FE1A121BA173B2795901C426922E32623EFDA | org.telegram.messenger.web2 | Android/Clipper.L |
0A79B29FC0B04D3C678E9B95BFF72A9558A632AC | org.telegram.messenger | Android/Clipper.M |
D44973C623E680EE0A4E696C99D1AB8430D2A407 | org.telegram.messenger | Android/Clipper.N |
88F34441290175E3AE2FE0491BFC206899DD158B | org.telegram.messenger | Android/Clipper.O |
0936D24FC10DB2518973C17493B6523CCF8FCE94 | io.busniess.va.WhatsApp | Android/Clipper.V |
8E98438103C855C3E7723140767749DEAF8CA263 | com.whatsapp | Android/Clipper.V |
5243AD8BBFBC4327B8C4A6FD64401912F46886FF | com.whatsapp | Android/Clipper.V |
SHA-1 | Filename | Detection |
646A70E4F7F4502643CDB9AA241ACC89C6D6F1C0 | Telegram.exe | Win32/Agent.AEWM |
858A5B578A0D8A0D511E502DE16EC2547E23B375 | Telegram.exe | Win64/PSW.Agent.CS |
88AAC1C8AB43CD540E0677BAA1A023FDA88B70C4 | Telegram.exe | Win64/PSW.Agent.CT |
F3D2CCB4E7049010B18A3300ABDEB06CF3B75FFA | Telegram.exe | Win64/PSW.Agent.CT |
A5EB91733FD5CDC8386481EA9856C20C71254713 | 1.exe | Win32/TrojanDownloader.Agent.GLD |
34FA6E6B09E08E84D3C544F9039CB14624080A19 | libcef.dll | Win32/Kryptik.HMVR |
5E4021AE96D4B28DD27382E3520E8333288D7095 | 1.txt | Win32/Farfli.BUR |
14728633636912FB91AE00342D7C6D7050414D85 | BASICNETUTILS.dll | Win32/Agent.AEMT |
B09E560001621AD79BE31A8822CA72F3BAC46F64 | BASICNETUTILS.dll | Win32/Agent.AEMT |
70B8B5A0BFBDBBFA6BA6C86258C593AD21A89829 | templateX.TXT | Win32/Farfli.CUO |
A51A0BCCE028966C4FCBB1581303980CF10669E0 | templateX.TXT | Win32/Farfli.CUO |
A2883F344831494C605598B4D8C69B23A896B71A | collec.exe | Win64/GenKryptik.FZHX |
F8005F22F6E8EE31953A80936032D9E0C413FD22 | ZM.log | Win32/Farfli.DBP |
D2D2B0EE45F0540B906DE25B1269D257578A25BD | DuiLib.dll | Win32/Agent.AEXA |
564F7A88CD5E1FF8C318796127A3DA30BDDE2AD6 | Telegram.msi | Win32/TrojanDownloader.Agent.GLD |
C5ED56584F224E7924711EF47B39505D4D1C98D2 | TG_ZH.exe | Win32/Farfli.CUO |
2DCDAAAEF094D60BC0910F816CBD42F3C76EBEE9 | TG_CN.exe | Win32/Farfli.CUO |
31878B6FC6F96703AC27EBC8E786E01F5AEA5819 | telegram.exe | Win64/PSW.Agent.CS |
58F7E6E972774290DF613553FA2120871436B9AA | 飞机中文版X64.zip (machine translation: Aircraft Chinese Version) | Win64/GenKryptik.FZHX trojan |
CE9CBB3641036E7053C494E2021006563D13E1A6 | Telegram.7z | Win32/Agent.AEWM trojan |
7916BF7FF4FA9901A0C6030CC28933A143C2285F | WhatsApp.exe | Agent.AEUO |
B26EC31C9E8D2CC84DF8B771F336F64A12DBD484 | webview_support.dll | Agent.AEUO |
366D12F749B829B436474C9040E8102CEC2AACB4 | upgrade.xml | Win32/Farfli.DCC |
A565875EDF33016D8A231682CC4C19FCC43A9A0E | CSLoader.dll | Win32/Farfli.DCC |
CFD900B77494574A01EA8270194F00E573E80F94 | 1.dll | Win32/Farfli.BLH |
18DE3283402FE09D2FF6771D85B9DB6FE2B9D05E | telegram.exe | Win64/PSW.Agent.CT |