El equipo de investigación de ESET descubrió decenas de sitios web que se hacen pasar por Telegram y WhatsApp y se dirigen a los usuarios de Android y Windows con versiones troyanizadas de estas aplicaciones de mensajería.
La mayoría de las aplicaciones maliciosas identificadas son clippers (el clipper es un tipo de malware que roba o altera el contenido del clipboard portapapeles), y es la primera vez que ESET ve el uso de este tipo de malware para Android disfrazado de aplicaciones de mensajería instantánea.
Además, algunas de estas aplicaciones utilizan reconocimiento óptico de caracteres (OCR) para reconocer el texto de capturas de pantalla almacenadas en dispositivos comprometidos, otra novedad para el malware de Android.
Este tipo de código malicioso es atractivo para los ciberdelincuentes interesados en robar criptomonedas, ya que las direcciones de las carteras en línea están compuestas por largas cadenas de caracteres y, en lugar de escribirlas, los usuarios tienden a copiarlas y pegarlas.
Robar cualquier dirección de cartera
Al utilizar este tipo de malware, es posible interceptar el contenido del portapapeles y robar cualquier dirección de cartera de criptomonedas copiada.
ESET observó que las aplicaciones se comportan de maneras diferentes. Al pegar la dirección de la cartera de criptomonedas, la víctima que usa la versión maliciosa de la aplicación Telegram seguirá viendo la dirección original hasta que se reinicie la aplicación.
Después de eso, se mostrará la dirección que pertenece al atacante. En WhatsApp, la víctima verá su propia dirección en los mensajes enviados, pero el destinatario del mensaje recibirá la dirección del atacante.