【剪貼板危機】惡意軟件嵌入Telegram 針對中文用戶竊取加密貨幣
受歡迎或多人使用的網站及應用程式,經常被不法分子利用其原形,推出山寨版本欺騙大眾。近日,即時通訊應用程式 Telegram 和 WhatApp 便出現假網站,用來散播剪貼板惡意軟件,專家指出攻擊更是針對中文用戶及加密貨幣。
Google Play 早在 2019 年已首次出現剪貼板惡意軟件,但今次發現的 Android 剪貼板惡意軟件,有兩個首次發現的特點:第一:能嵌入即時通訊應用程式內;第二:會使用光學字符識別(OCR),來識別儲存在被感染設備上的截圖文本。
ESET研究人員 Lukáš Štefanko 和 Peter Strýček 在分析報告中表示,所有攻擊都是針對受害者的加密貨幣資金,部分以加密貨幣錢包為目標。
其攻擊鏈的起動,由用戶點擊 Google 搜索結果上的詐騙廣告而開始。YouTube 上有數百個可疑頻道,當用戶經 Google 進入時,這些頻道會將他們指向假冒 Telegram 和 WhatsApp 的山寨網站,再透過剪貼板惡意軟件發動不同攻擊,大致可分成四組方法:
1.攔截受害者的聊天信息,並將原本發送和接收的加密貨幣錢包地址,替換成網絡威脅者所控制的地址。
2.利用 OCR 來尋找和竊取加密貨幣錢包的 seed phrase,其方法是利用 Android 上的一個合法機器學習插件 ML Kit,進而清空受害者的錢包。
3.監控 Telegram 中對包含與加密貨幣有關的中文關鍵詞的對話,包括硬編碼和從伺服器接收到的詞語;如果符合其關鍵詞,就會將完整訊息與用戶名、群組或頻道名稱,一同外洩到遠程伺服器。
4.具有切換錢包地址、收集設備訊息和 Telegram 數據(如訊息和聯絡人)的功能。
以下是可疑的 Android APK 包名:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET 表示,他們還發現了兩個基於 Windows 的集群,其中一個是針對交換錢包地址,另一個則為分發遠程訪問木馬(RAT),以取得對受感染主機的控制,繼而進行加密貨幣盜竊。值得留意的是,儘管攻擊手法相同,但它們可能是由不同的網絡威脅者所開發的。
如同去年曝光、類似的惡意網絡攻擊一樣,這類攻擊以針對使用中文的用戶為主,其主因是 Telegram 和 WhatsApp 在中國被封鎖。研究人員指出,想使用這些服務卻被封鎖的人,必須間接地獲取使用權,為網絡犯罪分子提供了豐富的入侵機會。
資料來源:https://thehackernews.com/2023/03/lookalike-telegram-and-whatsapp.html?m=1
相關文章:【區塊鏈遊戲】P2E騙案急升 一夜清空電子錢包資產