ESET के शोधकर्ताओं ने व्हाट्सएप और टेलीग्राम ऐप्स के ट्रोजनाइज्ड वर्जन की पहचान की है, साथ ही उन इंस्टेंट मैसेजिंग ऐप्स के लिए दर्जनों कॉपीकैट वेबसाइट्स की पहचान की है, जो विशेष रूप से Android और Windows उपयोगकर्ताओं को लक्षित करते हैं। अधिकांश पहचाने गए मैलवेयर क्लिपर हैं, एक प्रकार का मैलवेयर जो क्लिपबोर्ड सामग्री को चुराता है या बदल देता है। विचाराधीन सभी सॉफ़्टवेयर पीड़ितों की क्रिप्टोकरेंसी को चुराने की कोशिश करते हैं, जबकि कुछ क्रिप्टोक्यूरेंसी वॉलेट को लक्षित करते हैं। पहली बार ईएसईटी रिसर्च ने एंड्रॉइड-आधारित क्लिपर सॉफ़्टवेयर का पता लगाया है जो विशेष रूप से इंस्टैंट मैसेजिंग ऐप्स को लक्षित करता है। साथ ही, इनमें से कुछ ऐप हैक किए गए उपकरणों पर सहेजे गए स्क्रीनशॉट से टेक्स्ट निकालने के लिए ऑप्टिकल कैरेक्टर आइडेंटिफिकेशन (OCR) का उपयोग करते हैं। Android-आधारित मैलवेयर के लिए यह दूसरा पहला है।
"स्कैमर्स इंस्टेंट मैसेजिंग ऐप के जरिए क्रिप्टोकरंसी वॉलेट को जब्त करने की कोशिश कर रहे हैं"
जब नकली ऐप्स में इस्तेमाल की जाने वाली भाषा की जांच की गई तो पता चला कि इन सॉफ्टवेयर का इस्तेमाल करने वाले लोग खासतौर पर चीनी भाषा बोलने वाले यूजर्स को निशाना बना रहे थे। चूंकि टेलीग्राम और व्हाट्सएप दोनों को चीन में क्रमशः 2015 और 2017 से प्रतिबंधित कर दिया गया है, इसलिए जो लोग इन ऐप का उपयोग करना चाहते थे, उन्हें अप्रत्यक्ष साधनों का सहारा लेना पड़ा। विचाराधीन धमकी देने वाले अभिनेता सबसे पहले नकली हैं। YouTube उन्होंने Google विज्ञापन की स्थापना की, जो उपयोगकर्ताओं को उनके चैनलों पर पुनर्निर्देशित करता है, और फिर उपयोगकर्ताओं को कॉपीकैट टेलीग्राम और व्हाट्सएप वेबसाइटों पर पुनर्निर्देशित करता है। ईएसईटी रिसर्च इन झूठे विज्ञापनों और संबंधित को नहीं हटाता है YouTube Google को अपने चैनलों की सूचना दी, और Google ने इन सभी विज्ञापनों और चैनलों का उपयोग तुरंत समाप्त कर दिया।
ESET के शोधकर्ता लुकास स्टीफ़ांको, जिन्होंने ट्रोजन-प्रच्छन्न अनुप्रयोगों का पता लगाया, ने कहा:
"हमने पाया क्लिपर सॉफ़्टवेयर का मुख्य उद्देश्य पीड़ित के संदेशों को कैप्चर करना और हमलावर के पते के साथ भेजे गए और प्राप्त क्रिप्टोकुरेंसी वॉलेट पते को प्रतिस्थापित करना है। ट्रोजन-प्रच्छन्न एंड्रॉइड-आधारित व्हाट्सएप और टेलीग्राम ऐप्स के अलावा, हमने उन्हीं ऐप्स के ट्रोजन-हिडन विंडोज वर्जन का भी पता लगाया।
इन ऐप्स के ट्रोजन-प्रच्छन्न संस्करणों में अलग-अलग विशेषताएं हैं, हालांकि वे एक ही उद्देश्य को पूरा करते हैं। समीक्षित Android-आधारित क्लिपर सॉफ़्टवेयर पहला Android-आधारित मैलवेयर है जो पीड़ित के डिवाइस पर संग्रहीत स्क्रीनशॉट और फ़ोटो से पाठ पढ़ने के लिए OCR का उपयोग करता है। OCR का उपयोग मुख्य वाक्यांश को खोजने और चलाने के लिए किया जाता है। कुंजी वाक्यांश एक स्मरक कोड है, क्रिप्टोक्यूरेंसी वॉलेट को पुनर्प्राप्त करने के लिए उपयोग किए जाने वाले शब्दों का एक सेट। जैसे ही दुर्भावनापूर्ण अभिनेता प्रमुख वाक्यांश को पकड़ लेते हैं, वे सीधे संबंधित वॉलेट में सभी क्रिप्टोकरेंसी को चुरा सकते हैं।
मैलवेयर पीड़ित के क्रिप्टोक्यूरेंसी वॉलेट पते को हमलावर को भेजता है। sohbet इसे पते से बदल देता है। यह या तो सीधे कार्यक्रम में या हमलावर के सर्वर से गतिशील रूप से प्राप्त पतों के साथ करता है। इसके अलावा, सॉफ्टवेयर क्रिप्टोक्यूरेंसी से संबंधित विशिष्ट कीवर्ड का पता लगाने के लिए टेलीग्राम संदेशों की निगरानी करता है। जैसे ही सॉफ्टवेयर इस तरह के कीवर्ड का पता लगाता है, यह हमलावर के सर्वर पर पूरे संदेश को अग्रेषित कर देता है।
ईएसईटी रिसर्च ने विंडोज-आधारित टेलीग्राम और व्हाट्सएप इंस्टालर का पता लगाया है जिसमें रिमोट एक्सेस ट्रोजन (आरएटी) और साथ ही इन वॉलेट एड्रेस-चेंजिंग क्लिपर सॉफ्टवेयर के विंडोज संस्करण शामिल हैं। एप्लिकेशन मॉडल के आधार पर, यह पता चला कि विंडोज-आधारित दुर्भावनापूर्ण पैकेजों में से एक क्लिपर सॉफ्टवेयर नहीं था, बल्कि आरएटी था जो पीड़ित के सिस्टम का पूरा नियंत्रण ले सकता था। इस प्रकार, ये RAT एप्लिकेशन प्रवाह को बाधित किए बिना क्रिप्टोक्यूरेंसी वॉलेट चुरा सकते हैं।
इस संबंध में लुकास स्टेफ़ानको ने निम्नलिखित सलाह दी:
“केवल विश्वसनीय और विश्वसनीय स्रोतों से ही ऐप इंस्टॉल करें, जैसे कि Google Play Store, और अपने डिवाइस पर अनएन्क्रिप्टेड तस्वीरें या स्क्रीनशॉट स्टोर न करें जिनमें महत्वपूर्ण जानकारी हो। अगर आपको लगता है कि आपके डिवाइस पर ट्रोजन-प्रच्छन्न टेलीग्राम या व्हाट्सएप एप्लिकेशन है, तो इन एप्लिकेशन को मैन्युअल रूप से अपने डिवाइस से अनइंस्टॉल करें और एप्लिकेशन को या तो Google Play से या सीधे वैध वेबसाइट से डाउनलोड करें। यदि आपको संदेह है कि आपके विंडोज-आधारित डिवाइस पर एक दुर्भावनापूर्ण टेलीग्राम ऐप है, तो एक सुरक्षा समाधान का उपयोग करें जो खतरे का पता लगाता है और हटा देता है। विंडोज के लिए व्हाट्सएप का एकमात्र आधिकारिक संस्करण वर्तमान में माइक्रोसॉफ्ट स्टोर में उपलब्ध है।”