זהירות! גרסאות זדוניות לאפליקציות ווטסאפ וטלגרם
לפי חוקרי ESET, שחשפו את האפליקציות, הללו משמשות לגניבת מטבעות דיגיטליים ● מדובר בגרסאות הנגועות בסוסים טרויאניים שהופיעו בעשרות אתרי חיקוי של ווטסאפ וטלגרם, אשר כוונו בעיקר למשתמשי אנדרואיד וחלונות
נחשפו עשרות אתרי חיקוי של ווטסאפ וטלגרם, אשר כוונו בעיקר למשתמשי אנדרואיד וחלונות. הם כללו גרסאות נגועות בסוסים טרויאניים. לפי חוקרי ESET, מרבית האפליקציות הזדוניות שזוהו הן מסוג 'העתק הדבק' – נוזקות שגונבות את תוכן לוח הכתיבה (clipboard) או משנות אותו.
לדברי החוקרים, כל הנוזקות כוונו למטרת גניבה של המטבעות הדיגיטליים של הקורבנות, כשחלק מהן כוונו גם אל הארנקים הדיגיטליים עצמם. חוקרי ESET ציינו בדו"ח שהנפיקו כי זו הפעם הראשונה שבה הם נתקלים בנוזקות 'העתק הדבק' לאנדרואיד, המתמקדות בעיקר במסרים מיידיים. בנוסף, ציינו, חלק מהאפליקציות השתמשו במנגנונים לזיהוי כתב מתוך תמונה, כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו – וגם זה מקרה ראשון שאותר בנוזקות מבוססות אנדרואיד.
לפי השפה שבה השתמשו בתוכנות המזויפות, החוקרים מעריכים כי העומדים מאחוריה כיוונו מתקפות בעיקר למשתמשים דוברי סינית. זאת, כי גם טלגרם וגם ווטסאפ חסומות בסין מזה מספר שנים – החל מ-2015 ומ-2017 בהתאמה. כך, אנשים שרוצים להשתמש בשירותים הללו, נאלצים להשיג את התוכנות באמצעים עקיפים.
ניסיון לגנוב אותם ממשתמשים. מטבעות קריפטו. צילום: BigStock
סרטוני יוטיוב הובילו לגרסאות הנגועות
התוקפים הקימו מודעות גוגל, שמובילות לערוצי יוטיוב, ובהם סרטונים שהובילו את הצופים לאתרים המתחזים לווטסאפ ולטלגרם. החוקרים דיווחו על המודעות המזויפות ועל ערוצי היוטיוב הרלוונטיים לגוגל, שסגרה אותם במהירות.
"המטרה העיקרית של נוזקות 'העתק הדבק' שגילינו, היא יירוט תקשורת המסרים של הקורבן והחלפת כתובות הארנקים שנשלחו והתקבלו בכתובות השייכות לתוקפים", אמר לוקאס סטפנקו, חוקר ב-ESET, שגילה את האפליקציות הנגועות. הוא הוסיף כי "על אף שהן משרתות את אותה המטרה הכללית, הגרסאות המודבקות של האפליקציות הציעו כמה פונקציות נוספות. הנוזקות שאיתרנו הן המקרה הראשון של נוזקה מבוססת אנדרואיד, שמשתמשת במנגנון לזיהוי כתב מתוך תמונה – כדי לקרוא טקסט מתוך צילומי מסך ותמונות המאוחסנות על המכשיר של הקורבן". הוא הסביר כי "המנגנון לזיהוי כתב מתוך תמונה נועד לאתר ולגנוב סיסמה ראשונית (seed phrase), שהיא קוד מילולי המורכב מסדרת מילים שמשמשת לשחזור ארנקי מטבעות דיגיטליים. לאחר שהתוקפים משיגים את הסיסמה הראשונית הזו – הם יכולים לגנוב את כל המטבעות הדיגיטליים ישירות מהארנק שאליו הם מקושרים".
תגובות
(0)