ESET tədqiqatçıları “WhatsApp” və “Telegram” proqramlarının troyanlaşdırılmış versiyalarını, həmçinin xüsusi olaraq Android və Windows istifadəçilərini hədəf alan həmin ani mesajlaşma proqramları üçün onlarla nüsxəçi veb-saytları müəyyən ediblər. Aşkar edilmiş zərərli proqramların əksəriyyəti clipper, mübadilə buferinin məzmununu oğurlayan və ya dəyişdirən zərərli proqram növüdür. Sözügedən proqram təminatının hamısı qurbanların kriptovalyutalarını oğurlamağa çalışır, bəziləri isə kriptovalyuta cüzdanlarını hədəfləyir. İlk dəfə olaraq ESET Research xüsusi olaraq ani mesajlaşma proqramlarını hədəf alan Android əsaslı kəsici proqram təminatı aşkar edib. Həmçinin, bu proqramlardan bəziləri təhlükəsi olan cihazlarda saxlanılan ekran görüntülərindən mətn çıxarmaq üçün optik xarakter identifikasiyasından (OCR) istifadə edir. Bu, Android əsaslı zərərli proqramlar üçün daha bir ilkdir.
“Fırıldaqçılar ani mesajlaşma proqramları vasitəsilə kriptovalyuta pul kisələrini ələ keçirməyə çalışırlar”
Təqlid proqramlarında istifadə edilən dil araşdırıldığında, bu proqramlardan istifadə edən şəxslərin xüsusilə Çin dilli istifadəçiləri hədəf aldığı ortaya çıxıb. Çində müvafiq olaraq 2015 və 2017-ci ildən həm Telegram, həm də WhatsApp qadağan olunduğu üçün bu proqramlardan istifadə etmək istəyənlər dolayı vasitələrə əl atmalı olublar. Sözügedən təhlükə aktorları ilk növbədə saxtadır. YouTube O, istifadəçiləri öz kanallarına yönləndirən, sonra isə istifadəçiləri Telegram və WhatsApp saytlarının surətini çıxarmağa yönləndirən Google Ads qurub. ESET Research bu yalançı və əlaqəli reklamları silmir YouTube öz kanallarını Google-a bildirdi və Google dərhal bütün bu reklam və kanalların istifadəsinə son qoydu.
Trojan maskalı tətbiqləri aşkar edən ESET tədqiqatçısı Lukáš Štefanko dedi:
“Aşkar etdiyimiz kəsici proqram təminatının əsas məqsədi qurbanın mesajlarını tutmaq və göndərilən və qəbul edilmiş kriptovalyuta cüzdan ünvanlarını təcavüzkarın ünvanları ilə əvəz etməkdir. Trojan maskalı Android əsaslı WhatsApp və Telegram tətbiqləri ilə yanaşı, eyni proqramların troyan gizli Windows versiyalarını da aşkar etdik.”
Bu proqramların troyan maskalı versiyaları eyni məqsədə xidmət etsə də, fərqli xüsusiyyətlərə malikdir. Nəzərdən keçirilmiş Android əsaslı kəsici proqram, qurbanın cihazında saxlanılan skrinşotlardan və fotoşəkillərdən mətni oxumaq üçün OCR-dən istifadə edən ilk Android əsaslı zərərli proqramdır. OCR açar ifadəni tapmaq və ifa etmək üçün istifadə olunur. Əsas ifadə kriptovalyuta cüzdanlarını bərpa etmək üçün istifadə olunan bir sıra sözlərdən ibarət mnemonik koddur. Zərərli aktyorlar açar ifadəni ələ keçirən kimi, müvafiq pul kisəsindəki bütün kriptovalyutaları birbaşa oğurlaya bilərlər.
Zərərli proqram hücumçuya qurbanın kriptovalyuta pul kisəsinin ünvanını göndərir. sohbet ünvanı ilə əvəz edir. O, bunu birbaşa proqramda olan və ya təcavüzkarın serverindən dinamik şəkildə əldə edilən ünvanlarla edir. Bundan əlavə, proqram kriptovalyutalarla əlaqəli xüsusi açar sözləri aşkar etmək üçün Telegram mesajlarına nəzarət edir. Proqram belə bir açar sözü aşkar edən kimi bütün mesajı təcavüzkarın serverinə yönləndirir.
ESET Research şirkəti uzaqdan giriş troyanlarını (RAT) ehtiva edən Windows əsaslı Telegram və WhatsApp quraşdırıcılarını, həmçinin pul kisəsinin ünvanını dəyişdirən bu proqramın Windows versiyalarını aşkar edib. Tətbiq modeli əsasında məlum olub ki, Windows əsaslı zərərli paketlərdən biri kəsici proqram deyil, qurbanın sisteminə tam nəzarət edə bilən RAT-lardır. Beləliklə, bu RAT-lar tətbiq axınına müdaxilə etmədən kriptovalyuta cüzdanlarını oğurlaya bilərlər.
Lukas Stefanko bununla bağlı aşağıdakı məsləhətləri verib:
“Tətbiqləri yalnız Google Play Store kimi etibarlı və etibarlı mənbələrdən quraşdırın və vacib məlumatları ehtiva edən şifrələnməmiş şəkilləri və ya skrinşotları cihazınızda saxlamayın. Cihazınızda Trojanla örtülmüş Telegram və ya WhatsApp tətbiqinizin olduğunu düşünürsünüzsə, bu proqramları cihazınızdan əl ilə silin və proqramı Google Play-dən və ya birbaşa qanuni veb-saytdan endirin. Windows əsaslı cihazınızda zərərli Telegram tətbiqindən şübhələnirsinizsə, təhlükəni aşkarlayan və aradan qaldıran təhlükəsizlik həllindən istifadə edin. Windows üçün WhatsApp-ın yeganə rəsmi versiyası hazırda Microsoft mağazasında mövcuddur”.