ESET зерттеушілері WhatsApp және Telegram қолданбаларының трояндық нұсқаларын, сондай-ақ Android және Windows пайдаланушыларына арнайы бағытталған жедел хабар алмасу қолданбаларына арналған ондаған көшірме веб-сайттарын анықтады. Анықталған зиянды бағдарламалардың көпшілігі - буфердің мазмұнын ұрлайтын немесе өзгертетін зиянды бағдарлама түрі. Қарастырылып отырған бағдарламалық жасақтаманың барлығы құрбандардың криптовалюталарын ұрлауға тырысады, ал кейбіреулері криптовалюта әмияндарын мақсатты етеді. ESET Research алғаш рет арнайы лездік хабар алмасу қолданбаларына бағытталған Android негізіндегі кескіш бағдарламалық құралды анықтады. Сондай-ақ, осы қолданбалардың кейбірі бұзылған құрылғыларда сақталған скриншоттардан мәтінді шығару үшін оптикалық таңбаларды анықтауды (OCR) пайдаланады. Бұл Android негізіндегі зиянды бағдарлама үшін тағы бір бірінші.
«Алаяқтар жедел хабар алмасу қолданбалары арқылы криптовалюталық әмияндарды тартып алуға тырысуда»
Имитациялық қосымшаларда қолданылатын тіл зерттелгенде, бұл бағдарламалық жасақтаманы пайдаланатын адамдар әсіресе қытай тілді қолданушыларға бағытталғаны анықталды. Қытайда 2015 және 2017 жылдан бері Telegram мен WhatsApp-қа тыйым салынғандықтан, бұл қолданбаларды пайдаланғысы келген адамдар жанама әдістерге жүгінуге мәжбүр болды. Қарастырылып отырған қауіп-қатер субъектілері ең алдымен жалған болып табылады. YouTube Ол пайдаланушыларды өз арналарына қайта бағыттайтын, содан кейін Telegram және WhatsApp веб-сайттарын көшіру үшін пайдаланушыларды қайта бағыттайтын Google Ads орнатты. ESET Research бұл жалған жарнамаларды және соған қатыстыларды жоймайды YouTube Google-ге өз арналары туралы хабарлады және Google осы жарнамалар мен арналардың барлығын пайдалануды дереу тоқтатты.
Трояндық жасырылған қолданбаларды анықтаған ESET зерттеушісі Лукаш Штефанко былай деді:
«Біз анықтаған кескіш бағдарламалық құралдың негізгі мақсаты - жәбірленушінің хабарламаларын түсіру және жіберілген және алынған криптовалюта әмиянының мекенжайларын шабуылдаушы мекенжайларымен ауыстыру. Троянмен жасырылған Android негізіндегі WhatsApp және Telegram қолданбаларынан басқа, біз сол қолданбалардың трояндық жасырын Windows нұсқаларын да анықтадық.
Бұл қолданбалардың трояндық жасырылған нұсқалары бір мақсатқа қызмет еткенімен, әртүрлі мүмкіндіктерге ие. Қаралған Android негізіндегі кескіш бағдарламалық құрал жәбірленушінің құрылғысында сақталған скриншоттар мен фотосуреттерден мәтінді оқу үшін OCR пайдаланатын алғашқы Android негізіндегі зиянды бағдарлама болып табылады. OCR негізгі фразаны табу және ойнау үшін қолданылады. Негізгі сөз тіркесі - мнемоникалық код, криптовалюта әмияндарын қалпына келтіру үшін қолданылатын сөздер жиынтығы. Зиянды актерлер кілт сөзді ұстай салысымен, олар тиісті әмияндағы барлық криптовалюталарды тікелей ұрлай алады.
Зиянды бағдарлама жәбірленушінің криптовалюта әмиянының мекенжайын шабуылдаушыға жібереді. sohbet мекенжайымен ауыстырады. Ол мұны тікелей бағдарламадағы немесе шабуылдаушы серверінен динамикалық түрде алынған мекенжайлармен жасайды. Сонымен қатар, бағдарламалық құрал криптовалюталарға қатысты нақты кілт сөздерді анықтау үшін Telegram хабарламаларын бақылайды. Бағдарламалық құрал мұндай кілт сөзді анықтаған бойда, ол бүкіл хабарламаны шабуылдаушының серверіне жібереді.
ESET Research компаниясы қашықтан қол жеткізу трояндары (RAT) бар Windows негізіндегі Telegram және WhatsApp орнатушыларын, сондай-ақ әмиянның мекенжайын өзгертетін кескіш бағдарламалық құралдың Windows нұсқаларын анықтады. Қолданба үлгісі негізінде Windows негізіндегі зиянды пакеттердің бірі кескіш бағдарламалық құрал емес, жәбірленушінің жүйесін толық бақылауға алатын RAT-тер екені анықталды. Осылайша, бұл RAT қолданбалар ағынына кедергі жасамай, криптовалюта әмияндарын ұрлай алады.
Лукас Стефанко осыған байланысты мынадай кеңес берді:
«Қолданбаларды тек Google Play Store сияқты сенімді және сенімді көздерден орнатыңыз және маңызды ақпаратты қамтитын шифрланбаған суреттерді немесе скриншоттарды құрылғыда сақтамаңыз. Құрылғыңызда трояндық жасырылған Telegram немесе WhatsApp қолданбасы бар деп ойласаңыз, бұл қолданбаларды құрылғыңыздан қолмен жойып, қолданбаны Google Play дүкенінен немесе тікелей заңды веб-сайттан жүктеп алыңыз. Windows жүйесіне негізделген құрылғыңызда зиянды Telegram қолданбасы бар деп күдіктенсеңіз, қауіпті анықтайтын және жойатын қауіпсіздік шешімін пайдаланыңыз. Windows жүйесіне арналған WhatsApp-тың жалғыз ресми нұсқасы қазір Microsoft дүкенінде қол жетімді».