A equipe de pesquisa da ESET descobriu dezenas de sites que se passam pelo Telegram e WhatsApp, visando usuários de Android e Windows, com versões trojanizadas dos aplicativos de mensagens.
A maioria dos apps maliciosos identificados são clippers, e é a primeira vez que a ESET vê o uso desse tipo de malware para Android disfarçados de aplicativos de mensagens instantâneas. Além disso, alguns desses apps usam reconhecimento óptico de caracteres (OCR) para reconhecer o texto de capturas de tela armazenadas em dispositivos comprometidos, outra novidade para o malware Android.
O clipper é um malware que rouba ou modifica o conteúdo armazenado na área de transferência. Esse tipo de código malicioso é atraente para os cibercriminosos interessados em roubar criptomoedas, pois os endereços das carteiras on-line são compostos de longas cadeias de caracteres e, ao invés de digitá-los, os usuários tendem a copiar e colar os endereços. Ao usar esse tipo de malware é possível interceptar o conteúdo da área de transferência e roubar qualquer endereço de carteira de criptomoeda copiado.
“Não apenas os primeiros clippers foram identificados em aplicativos de mensagens instantâneas, mas vários grupos deles foram descobertos. O principal objetivo dos clippers é interceptar comunicações nos aplicativos de mensagens que a vítima usa e substituir quaisquer endereços de carteira de criptomoeda enviados e recebidos por endereços pertencentes aos invasores. Além das versões trojanizadas do WhatsApp e Telegram para Android, eles também encontraram os mesmos aplicativos para Windows”, explica Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
A ESET observou que os aplicativos se comportam de maneiras diferentes. Ao colar o endereço da carteira de criptomoedas, a vítima que usa a versão maliciosa do aplicativo Telegram continuará a ver o endereço original até que o aplicativo seja reiniciado – depois disso, o endereço exibido será o que pertence ao invasor. No WhatsApp, a vítima verá o seu próprio endereço nas mensagens enviadas, mas o destinatário da mensagem receberá o endereço do invasor.
De acordo com análise da ESET, os operadores por trás dessas ameaças compram anúncios do Google que ficam no topo da página de pesquisa e levam a canais fraudulentos do YouTube, de lá, as vítimas são redirecionadas para as versões falsas dos aplicativos de mensagem. Além disso, um grupo do Telegram em particular também anunciou uma versão maliciosa do aplicativo que afirmava ter um serviço de proxy gratuito fora da China. Quando a ESET descobriu esses anúncios fraudulentos e canais relacionados do YouTube, informou o Google, que os encerrou imediatamente.
“À primeira vista, pode parecer complexo como esses aplicativos fraudulentos são distribuídos. No entanto, com o Telegram, o WhatsApp e o Google Play bloqueados na China, talvez os usuários do Android estejam acostumados a passar por vários obstáculos para baixar aplicativos que não estão oficialmente disponíveis. Os cibercriminosos estão cientes disso e tentam capturar suas vítimas desde o primeiro momento, quando a vítima pesquisa no Google por um aplicativo bloqueado para baixar”, acrescenta Gutiérrez.
Como se proteger no Android?
- Instale aplicativos somente de fontes confiáveis, como a Google Play Store.
- Se os endereços da carteira de criptomoedas estiverem sendo compartilhados por meio do aplicativo Telegram para Android, verifique novamente se o endereço enviado corresponde ao exibido após reiniciar o aplicativo. Caso contrário, avise o destinatário para não usar o código e tente excluir a mensagem. Infelizmente, essa técnica não pode ser aplicada à versão trojanizada do WhatsApp para Android.
- Não armazene imagens não criptografadas ou capturas de tela que contenham informações confidenciais, como frases mnemônicas, senhas e chaves privadas, em seu dispositivo.
- Se acredita que você tenha uma versão trojanizada do Telegram ou WhatsApp no seu dispositivo, opte por minerá-la manualmente do seu dispositivo e baixar o aplicativo do Google Play ou diretamente do site legítimo.
E no Windows?
- Caso você tenha certeza de que o instalador do Telegram é legítimo, verifique se a assinatura digital do arquivo é válida e emitida pelo Telegram FZ-LLC.
- Se suspeitar que o aplicativo é malicioso, é recomendável usar uma solução de segurança para detectar a ameaça e removê-la. Mesmo que você não tenha esse software, você pode usar o scanner on-line gratuito da ESET.
- A única versão oficial do WhatsApp para Windows está atualmente disponível na loja da Microsoft.
Para saber mais sobre a análise de aplicativos de acordo com funcionalidades (clippers para Android e aplicativos maliciosos para Windows) acesse a análise técnica.
