ESET חושפת אפליקציות וואטספ וטלגרם זדוניות המשמשות לגניבת מטבעות דיגיטליים
חלק מהאפליקציות השתמשו במנגנונים לזיהוי כתב מתוך תמונה כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו
ישראל דיפנס
| 20/03/2023
אילוסטרציה. BIGSTOCK/Copyright: Phongphan
חוקרי חברת אבטחת המידע ESET גילו עשרות אתרי חיקוי של וואטסאפ וטלגרם שכוונו בעיקר למשתמשי Android ו-Windows, וכללו גרסאות נגועות בסוסים טרויאניים. מרבית האפליקציות הזדוניות שזוהו הן מסוג ״העתק הדבק״ – נוזקות שגונבות את תוכן לוח הכתיבה (clipboard) או משנות אותו. כל הנוזקות מכוונות לגניבת המטבעות הדיגיטליים של הקורבנות, כשחלק מהן כוונו גם אל הארנקים הדיגיטליים עצמם.
זו הפעם הראשונה שבה גוף המחקר של ESET נתקל בנוזקות ״העתק הדבק״ ל-Android, המתמקדות בעיקר במסרים מיידיים. בנוסף, חלק מהאפליקציות השתמשו במנגנונים לזיהוי כתב מתוך תמונה כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו, וגם זה מקרה ראשון שאותר בנוזקות Android.
על פי השפה בה השתמשו בתוכנות המזויפות, נראה שהעומדים מאחוריה כיוונו מתקפות בעיקר למשתמשים דוברי סינית. מכיוון שגם טלגרם וגם וואטסאפ חסומות בסין מזה מספר שנים (וואטסאפ חסומה החל מ-2017 וטלגרם חסומה החל מ-2015), אנשים שרוצים להשתמש בשירותים האלה נאלצים להשיג את התוכנות באמצעים עקיפים.
התוקפים הקימו מודעות גוגל שמובילות לערוצי יוטיוב ובהם סרטונים שהובילו את הצופים לאתרים המתחזים לוואטסאפ וטלגרם. ב-ESET דיווחו על המודעות המזויפות ועל ערוצי היוטיוב הרלוונטיים לגוגל, שסגרה את כולם במהירות.
״המטרה העיקרית של נוזקות ה״העתק הדבק״ שגילינו היא יירוט תקשורת המסרים של הקורבן והחלפת כתובות הארנקים שנשלחו והתקבלו בכתובות השייכות לתוקפים. בנוסף לגרסאות המודבקות של האפליקציות המיועדות ל-Android, מצאנו גם גרסאות מודבקות ל-Windows של אותן האפליקציות״, מציין חוקר ESET, לוקאס סטפנקו, שגילה את האפליקציות הנגועות.
על אף שהן משרתות את אותה המטרה הכללית, הגרסאות המודבקות של האפליקציות הציעו מספר פונקציות נוספות. נוזקות ה״העתק הדבק״ ל-Android שאיתרנו הן המקרה הראשון של נוזקה ל-Android שמשתמשת במנגנון לזיהוי כתב מתוך תמונה כדי לקרוא טקסט מתוך צילומי מסך ותמונות המאוחסנות על המכשיר של הקורבן. המנגנון לזיהוי כתב מתוך תמונה נועד לאתר ולגנוב סיסמה ראשונית (seed phrase), שהיא קוד מילולי המורכב מסדרת מילים שמשמשת לשחזור ארנקי מטבעות דיגיטליים. לאחר שהתוקפים משיגים את הסיסמה הראשונית הזו, הם יכולים לגנוב את כל המטבעות הדיגיטליים ישירות מהארנק שאליו הם מקושרים.
במקרה אחר, הנוזקה פשוט החליפה את כתובת הארנק הדיגיטלי של הקורבן בזו של התוקף בכל הודעת צ׳ט שנשלחה או התקבלה, כשהכתובות היו מאוחסנות בתוך זיכרון הנוזקה או הורדו משרת התוקף. במקרה נוסף, הנוזקה חיפשה מילים ספציפיות הקשורות למטבעות דיגיטליים בתוך הודעות טלגרם. לאחר שזוהתה מילה כזו, הנוזקה שלחה את ההודעה המלאה לשרת התוקף.
גוף המחקר של ESET גילה גם גרסאות Windows של נוזקות ההעתק-הדבק הללו, ותוכנות התקנה לוואטסאפ ולטלגרם שהגיעו יחד עם סוסים טרויאניים שמאפשרים גישה מרחוק. בניגוד לאופן הפעולה הרגיל של הנוזקות האלה, אחת מחבילות התוכנה הנגועות אינה כוללת נוזקות העתק-הדבק, אלא סוסים טרויאניים לשליטה מרחוק שמאפשרים שליטה מלאה על המערכת של הקורבן. באופן הזה, אותם הסוסים הטרויאניים יכולים לגנוב ארנקים דיגיטליים מבלי ליירט את ההודעות היוצאות והנכנסות מהאפליקציה.
חלק מהאפליקציות השתמשו במנגנונים לזיהוי כתב מתוך תמונה כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו
אילוסטרציה. BIGSTOCK/Copyright: Phongphan
חוקרי חברת אבטחת המידע ESET גילו עשרות אתרי חיקוי של וואטסאפ וטלגרם שכוונו בעיקר למשתמשי Android ו-Windows, וכללו גרסאות נגועות בסוסים טרויאניים. מרבית האפליקציות הזדוניות שזוהו הן מסוג ״העתק הדבק״ – נוזקות שגונבות את תוכן לוח הכתיבה (clipboard) או משנות אותו. כל הנוזקות מכוונות לגניבת המטבעות הדיגיטליים של הקורבנות, כשחלק מהן כוונו גם אל הארנקים הדיגיטליים עצמם.
זו הפעם הראשונה שבה גוף המחקר של ESET נתקל בנוזקות ״העתק הדבק״ ל-Android, המתמקדות בעיקר במסרים מיידיים. בנוסף, חלק מהאפליקציות השתמשו במנגנונים לזיהוי כתב מתוך תמונה כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו, וגם זה מקרה ראשון שאותר בנוזקות Android.
על פי השפה בה השתמשו בתוכנות המזויפות, נראה שהעומדים מאחוריה כיוונו מתקפות בעיקר למשתמשים דוברי סינית. מכיוון שגם טלגרם וגם וואטסאפ חסומות בסין מזה מספר שנים (וואטסאפ חסומה החל מ-2017 וטלגרם חסומה החל מ-2015), אנשים שרוצים להשתמש בשירותים האלה נאלצים להשיג את התוכנות באמצעים עקיפים.
התוקפים הקימו מודעות גוגל שמובילות לערוצי יוטיוב ובהם סרטונים שהובילו את הצופים לאתרים המתחזים לוואטסאפ וטלגרם. ב-ESET דיווחו על המודעות המזויפות ועל ערוצי היוטיוב הרלוונטיים לגוגל, שסגרה את כולם במהירות.
״המטרה העיקרית של נוזקות ה״העתק הדבק״ שגילינו היא יירוט תקשורת המסרים של הקורבן והחלפת כתובות הארנקים שנשלחו והתקבלו בכתובות השייכות לתוקפים. בנוסף לגרסאות המודבקות של האפליקציות המיועדות ל-Android, מצאנו גם גרסאות מודבקות ל-Windows של אותן האפליקציות״, מציין חוקר ESET, לוקאס סטפנקו, שגילה את האפליקציות הנגועות.
על אף שהן משרתות את אותה המטרה הכללית, הגרסאות המודבקות של האפליקציות הציעו מספר פונקציות נוספות. נוזקות ה״העתק הדבק״ ל-Android שאיתרנו הן המקרה הראשון של נוזקה ל-Android שמשתמשת במנגנון לזיהוי כתב מתוך תמונה כדי לקרוא טקסט מתוך צילומי מסך ותמונות המאוחסנות על המכשיר של הקורבן. המנגנון לזיהוי כתב מתוך תמונה נועד לאתר ולגנוב סיסמה ראשונית (seed phrase), שהיא קוד מילולי המורכב מסדרת מילים שמשמשת לשחזור ארנקי מטבעות דיגיטליים. לאחר שהתוקפים משיגים את הסיסמה הראשונית הזו, הם יכולים לגנוב את כל המטבעות הדיגיטליים ישירות מהארנק שאליו הם מקושרים.
במקרה אחר, הנוזקה פשוט החליפה את כתובת הארנק הדיגיטלי של הקורבן בזו של התוקף בכל הודעת צ׳ט שנשלחה או התקבלה, כשהכתובות היו מאוחסנות בתוך זיכרון הנוזקה או הורדו משרת התוקף. במקרה נוסף, הנוזקה חיפשה מילים ספציפיות הקשורות למטבעות דיגיטליים בתוך הודעות טלגרם. לאחר שזוהתה מילה כזו, הנוזקה שלחה את ההודעה המלאה לשרת התוקף.
גוף המחקר של ESET גילה גם גרסאות Windows של נוזקות ההעתק-הדבק הללו, ותוכנות התקנה לוואטסאפ ולטלגרם שהגיעו יחד עם סוסים טרויאניים שמאפשרים גישה מרחוק. בניגוד לאופן הפעולה הרגיל של הנוזקות האלה, אחת מחבילות התוכנה הנגועות אינה כוללת נוזקות העתק-הדבק, אלא סוסים טרויאניים לשליטה מרחוק שמאפשרים שליטה מלאה על המערכת של הקורבן. באופן הזה, אותם הסוסים הטרויאניים יכולים לגנוב ארנקים דיגיטליים מבלי ליירט את ההודעות היוצאות והנכנסות מהאפליקציה.
