- Compañía de ciberseguridad analizó una serie de programas maliciosos para Android y Windows que son capaces de manipular los mensajes en ambas apps y usar el reconocimiento óptico de caracteres para robar fondos de billeteras de criptomonedas.
Santiago, 22 de marzo de 2023.- El equipo de investigación de ESET, compañía de ciberseguridad, descubrió docenas de sitios web que se hacían pasar por Telegram y WhatsApp apuntando principalmente a usuarios de Android y Windows con versiones troyanizadas de estas aplicaciones de mensajería instantánea.
La mayoría de las aplicaciones maliciosas identificadas son clippers, un tipo de malware que roba o modifica el contenido almacenado en el portapapeles (en inglés clipboard). Todos estos clippers buscan robar los fondos de las víctimas, y varios apuntan a las billeteras de criptomonedas. Esta es la primera vez que los expertos observan el uso de clippers para Android disfrazados como apps de mensajería instantánea. Además, algunas de estas aplicaciones utilizan el reconocimiento óptico de caracteres (OCR) para reconocer el texto de las capturas de pantalla almacenadas en los dispositivos comprometidos, otra novedad para el malware de Android.
“No solo se identificaron los primeros clippers en apps de mensajería instantánea, sino que se descubrieron varios grupos de ellos. El propósito principal de los clippers descubiertos es interceptar las comunicaciones en las apps de mensajería que utiliza la víctima y reemplazar cualquier dirección de billetera de criptomonedas enviada y recibida con direcciones que pertenecen a los atacantes. Además de las versiones troyanizadas de las aplicaciones de WhatsApp y Telegram para Android, también se encontraron de las mismas apps para Windows”, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
¿Qué es un clipper y por qué los ciberdelincuentes lo utilizan? Es una pieza de código malicioso que copia o modifica el contenido en el portapapeles de un sistema. Los clippers son atractivos para los ciberdelincuentes interesados en robar criptomonedas porque las direcciones de las billeteras de criptomonedas en línea están compuestas de largas cadenas de caracteres y, en lugar de escribirlas, los usuarios tienden a copiar y pegar las direcciones usando el portapapeles. Un clipper puede aprovechar esto interceptando el contenido del portapapeles y reemplazando cualquier dirección de billetera de criptomonedas copiada con una a la que los atacantes tienen bajo su control.
Según los expertos de la compañía de ciberseguridad, los operadores detrás de estas amenazas primero configuraron anuncios de Google que conducen a canales de YouTube fraudulentos, que luego redirigen a los desafortunados espectadores a imitar los sitios web de Telegram y WhatsApp. Además de eso, un grupo en particular de Telegram también anunció una versión maliciosa de la aplicación que afirmaba tener un servicio proxy gratuito fuera de China. Cuando los expertos descubrieron estos anuncios fraudulentos y los canales de YouTube relacionados, los informó a Google, que los cerró todos de inmediato.