חוקרי חברת אבטחת המידע ESET חשפו הבוקר (שני) כי גילו עשרות אתרי חיקוי של וואטסאפ וטלגרם שכוונו בעיקר למשתמשי אנדרואיד ו-ווינדוס, וכללו גרסאות נגועות בסוסים טרויאניים. מרבית האפליקציות הזדוניות שזוהו הן מסוג "העתק הדבק" - נוזקות שגונבות את תוכן לוח הכתיבה (Clipboard) או משנות אותו. כל הנוזקות מכוונות לגניבת המטבעות הדיגיטליים של הקורבנות, כשחלק מהן כוונו גם אל הארנקים הדיגיטליים עצמם.
לדברי ESET, זו הפעם הראשונה שבה גוף המחקר נתקל בנוזקות "העתק הדבק" לאנדרואיד, המתמקדות בעיקר במסרים מיידיים. בנוסף, חלק מהאפליקציות השתמשו במנגנונים לזיהוי כתב מתוך תמונה כדי לחלץ טקסט מתוך צילומי מסך המאוחסנים על המכשירים שנפגעו, וגם זה מקרה ראשון שאותר בנוזקות אנדרואיד.
על פי השפה בה השתמשו בתוכנות המזויפות, נראה שהעומדים מאחוריה כיוונו מתקפות בעיקר למשתמשים דוברי סינית. מכיוון שגם טלגרם וגם וואטסאפ חסומות בסין מזה מספר שנים (וואטסאפ חסומה החל מ-2017 וטלגרם חסומה החל מ-2015), אנשים שרוצים להשתמש בשירותים האלה נאלצים להשיג את התוכנות באמצעים עקיפים.
איך שיטת ההפצה של האפליקציה פעלה? התוקפים הקימו מודעות גוגל שמובילות לערוצי יוטיוב ובהם סרטונים שהובילו את הצופים לאתרים המתחזים לוואטסאפ וטלגרם. ב-ESET דיווחו על המודעות המזויפות ועל ערוצי היוטיוב הרלוונטיים לגוגל, שסגרה את כולם במהירות. "המטרה העיקרית של נוזקות ה"העתק הדבק" שגילינו היא יירוט תקשורת המסרים של הקורבן והחלפת כתובות הארנקים שנשלחו והתקבלו בכתובות השייכות לתוקפים. בנוסף לגרסאות המודבקות של האפליקציות המיועדות ל-Android, מצאנו גם גרסאות מודבקות ל-Windows של אותן האפליקציות", מציין חוקר ESET, לוקאס סטפנקו, שגילה את האפליקציות הנגועות.
על אף שהן משרתות את אותה המטרה הכללית, הגרסאות המודבקות של האפליקציות הציעו מספר פונקציות נוספות. נוזקות ה"העתק הדבק" לאנדרואיד שאותרו הן המקרה הראשון של נוזקה לאנדרואיד שמשתמשת במנגנון לזיהוי כתב מתוך תמונה כדי לקרוא טקסט מתוך צילומי מסך ותמונות המאוחסנות על המכשיר של הקורבן. המנגנון לזיהוי כתב מתוך תמונה נועד לאתר ולגנוב סיסמה ראשונית (seed phrase), שהיא קוד מילולי המורכב מסדרת מילים שמשמשת לשחזור ארנקי מטבעות דיגיטליים. לאחר שהתוקפים משיגים את הסיסמה הראשונית הזו, הם יכולים לגנוב את כל המטבעות הדיגיטליים ישירות מהארנק שאליו הם מקושרים.
במקרה אחר, הנוזקה פשוט החליפה את כתובת הארנק הדיגיטלי של הקורבן בזו של התוקף בכל הודעת צ'ט שנשלחה או התקבלה, כשהכתובות היו מאוחסנות בתוך זיכרון הנוזקה או הורדו משרת התוקף. במקרה נוסף, הנוזקה חיפשה מילים ספציפיות הקשורות למטבעות דיגיטליים בתוך הודעות טלגרם. לאחר שזוהתה מילה כזו, הנוזקה שלחה את ההודעה המלאה לשרת התוקף.
גוף המחקר של ESET גילה גם גרסאות ווינדוס של נוזקות ההעתק-הדבק הללו, ותוכנות התקנה לוואטסאפ ולטלגרם שהגיעו יחד עם סוסים טרויאניים שמאפשרים גישה מרחוק. בניגוד לאופן הפעולה הרגיל של הנוזקות האלה, אחת מחבילות התוכנה הנגועות אינה כוללת נוזקות העתק-הדבק, אלא סוסים טרויאניים לשליטה מרחוק שמאפשרים שליטה מלאה על המערכת של הקורבן. באופן הזה, אותם הסוסים הטרויאניים יכולים לגנוב ארנקים דיגיטליים מבלי ליירט את ההודעות היוצאות והנכנסות מהאפליקציה.
מה הפתרון? בחברת האבטחה ממליצים להתקין אפליקציות רק ממקומות ידועים ואמינים, כמו חנות האפליקציות Google Play, ולא לאחסן במכשירים שלכם תמונות או צילומי מסך המכילים מידע רגיש ללא הצפנה. אם אתם חושבים שהתקנתם גרסה נגועה של טלגרם או וואטאסאפ, הסירו אותה והורידו אותה מחנות האפליקציות הרשמית או מהאתר הרשמי של מפיץ התוכנה.
אם אתם חושדים שאפליקציית הטלגרם שלכם בווינדוס היא אפליקציה זדונית, השתמשו בפתרון אבטחה כדי לאתר את האיום ולמחוק אותו עבורכם. הגרסה הרשמית של וואטסאפ זמינה כרגע אך ורק בחנות של מיקרוסופט.