El equipo de investigación de ESET descubrió docenas de sitios web que se hacían pasar por Telegram y WhatsApp apuntando principalmente a usuarios de Android y Windows con versiones troyanizadas de estas aplicaciones de mensajería instantánea. La mayoría de las aplicaciones maliciosas que identificamos son clippers, un tipo de malware que roba o modifica el contenido almacenado en el portapapeles (en inglés clipboard). Todos estos clippers buscan robar los fondos de las víctimas, y varios apuntan a las billeteras de criptomonedas. Esta es la primera vez que observamos el uso de clippers para Android disfrazados como apps de mensajería instantánea. Además, algunas de estas aplicaciones utilizan el reconocimiento óptico de caracteres (OCR) para reconocer el texto de las capturas de pantalla almacenadas en los dispositivos comprometidos, que es otra novedad para el malware de Android.
Puntos clave de esta publicación:
- El equipo de ESET Research encontró la primera instancia de clippers integrados en aplicaciones de mensajería instantánea.
- Los actores de amenazas buscan robar fondos de criptomonedas de las víctimas utilizando aplicaciones troyanizadas de Telegram y WhatsApp para Android y Windows.
- El malware utilizado tiene la capacidad de cambiar las direcciones de la billetera de criptomonedas que la víctima envía en los mensajes de chat y reemplazarla por las direcciones que pertenecen al atacante.
- Algunos de los clippers abusan del reconocimiento óptico de caracteres (OCR) para extraer en formato texto información de capturas de pantalla y de esta manera robar la frase de recuperación de billeteras de criptomonedas.
- Además de clippers, también encontramos troyanos de acceso remoto (RAT) empaquetadas en versiones maliciosas de WhatsApp y Telegram para Windows.
Antes de que se establezca la App Defense Alliance, descubrimos el primer malware del tipo clipper para Android en Google Play, lo que llevó a Google a mejorar la seguridad de Android restringiendo el acceso a información del portapapeles en aplicaciones que se ejecutan en segundo plano para las versiones 10 de Android y superiores. Como lamentablemente muestran nuestros últimos hallazgos, esta acción no logró eliminar el problema por completo: no solo identificamos los primeros clippers en apps de mensajería instantánea, sino que descubrimos varios grupos de ellos. El propósito principal de los clippers que descubrimos es interceptar las comunicaciones en las apps de mensajería que utiliza la víctima y reemplazar cualquier dirección de billetera de criptomonedas enviada y recibida con direcciones que pertenecen a los atacantes. Además de las versiones troyanizadas de las aplicaciones de WhatsApp y Telegram para Android, también encontramos versiones troyanizadas de las mismas apps para Windows.
Por supuesto, estas no son las únicas aplicaciones de imitación que persiguen las criptomonedas: solo a principios de 2022, identificamos actores de amenazas enfocados en reempaquetar aplicaciones legítimas de criptomonedas que intentan robar frases de recuperación de las billeteras de sus víctimas.
Descripción general de las aplicaciones troyanizadas
Debido a la diferente arquitectura de Telegram y WhatsApp, los actores de amenazas tuvieron que elegir un enfoque diferente para crear versiones troyanizadas de cada una de estas dos aplicaciones. Dado que Telegram es una aplicación de código abierto, alterar su código manteniendo intacta la funcionalidad de mensajería de la aplicación es relativamente sencillo. Por otro lado, el código fuente de WhatsApp no está disponible públicamente, lo que significa que antes de volver a empaquetar la aplicación con código malicioso, los atacantes primero tuvieron que realizar un análisis en profundidad de la funcionalidad de la aplicación para identificar los lugares específicos a modificar.
A pesar de cumplir el mismo propósito general, las versiones troyanizadas de estas aplicaciones contienen varias funcionalidades adicionales. Para facilitar el análisis y la explicación, dividimos las aplicaciones en varios grupos en función de esas funcionalidades. En esta publicación, describiremos cuatro grupos de clippers para Android y dos grupos de aplicaciones maliciosas para Windows. En la versión en español de esta publicación compartimos una descripción general de estos cuatro grupos, mientras que en la versión en inglés de esta publicación podrá leer el análisis técnico en profundidad. No obstante, no entraremos en detalle sobre los actores de amenazas detrás de estas aplicaciones maliciosas, ya que hay varios de ellos.
Sin embargo, antes de describir brevemente esos grupos de aplicaciones, ¿qué es un clipper y por qué los ciberdelincuentes lo utilizan? En términos generales, en los círculos de malware, un clipper es una pieza de código malicioso que copia o modifica el contenido en el portapapeles de un sistema. Los clippers son atractivos para los ciberdelincuentes interesados en robar criptomonedas porque las direcciones de las billeteras de criptomonedas en línea están compuestas de largas cadenas de caracteres y, en lugar de escribirlas, los usuarios tienden a copiar y pegar las direcciones usando el portapapeles. Un clipper puede aprovechar esto interceptando el contenido del portapapeles y reemplazando cualquier dirección de billetera de criptomonedas copiada con una a la que los atacantes tienen bajo su control.
El Grupo 1 de los clippers para Android también constituye la primera instancia de malware para Android que usa OCR para leer texto de capturas de pantalla y de otras imágenes almacenadas en el dispositivo de la víctima. OCR se implementa para encontrar y robar una frase semilla, que es un código mnemotécnico compuesto por una serie de palabras que se utilizan para recuperar el acceso a una billetera de criptomonedas. Una vez que los actores malintencionados se apoderan de una frase semilla, son libres de robar todas las criptomonedas almacenadas desde la billetera asociada.
En comparación con la tecnología avanzada que utiliza el Grupo 1, el malware correspondiente al Grupo 2 es muy sencillo. Este malware simplemente cambia la dirección de la billetera de criptomonedas de la víctima por la dirección del atacante en la comunicación de chat, con las direcciones de estas billeteras o bien hardcodeadas o recuperadas dinámicamente desde el servidor del atacante. Este es el único grupo para Android en el que identificamos muestras troyanizadas de WhatsApp además de Telegram.
El Grupo 3 monitorea la comunicación de Telegram en busca de ciertas palabras clave relacionadas con criptomonedas. Una vez que se reconoce dicha palabra clave, el malware envía el mensaje completo al servidor atacante.
Por último, los clippers para Android en el Grupo 4 no solo cambian la dirección de la billetera de la víctima, sino que también extraen datos internos de Telegram e información básica del dispositivo.
Aparte del malware para Windows, había un grupo de clippers de criptomonedas para Telegram que eran utilizados por los ciberdelincuentes simplemente para interceptar y modificar los mensajes de Telegram y cambiar las direcciones de billetera de criptomonedas, al igual que el segundo grupo de clippers para Android. La diferencia está en el código fuente de la versión para Windows de Telegram, que requirió un análisis adicional por parte de los actores maliciosos para poder implementar el ingreso de su propia dirección de billetera.
A diferencia del patrón establecido, el segundo grupo para Windows no está compuesto por clippers, sino por troyanos de acceso remoto (RAT, por sus siglas en inglés) que permiten el control total del sistema de la víctima. De esta manera, los RAT pueden robar billeteras de criptomonedas sin interceptar el flujo de la aplicación.
Distribución
Según el idioma utilizado en las aplicaciones que se presentan como copias, parece que los operadores detrás de ellas se dirigen principalmente a usuarios de habla china.
Debido a que tanto Telegram como WhatsApp están bloqueados en China desde hace varios años, con Telegram bloqueado desde 2015 y WhatsApp desde 2017, las personas que desean utilizar estos servicios tienen que recurrir a medios alternativos para obtenerlos. Como era de esperar, esto constituye una gran oportunidad para que los ciberdelincuentes abusen de la situación.
En el caso de los ataques descritos en esta publicación, los operadores detrás de estas amenazas primero configuraron anuncios de Google que conducen a canales de YouTube fraudulentos, que luego redirigen a los desafortunados espectadores a imitar los sitios web de Telegram y WhatsApp, como se ilustra en la Figura 1. Además de eso, un grupo en particular de Telegram también anunció una versión maliciosa de la aplicación que afirmaba tener un servicio proxy gratuito fuera de China (ver Figura 2). Cuando descubrimos estos anuncios fraudulentos y los canales de YouTube relacionados, los informamos a Google, que los cerró todos de inmediato.