Вредоносное ПО может переключать адреса криптовалютных кошельков, которые жертва отправляет в сообщениях чата, на адреса, принадлежащие злоумышленнику.
Злоумышленники настроили Google Ads, ведущие к каналам мошенников на YouTube, ссылки перенаправляли зрителей на сайты-подражатели Telegram и WhatsApp. Аналитики ESET Research сообщили о мошеннической рекламе и каналах на YouTube в компанию Google, которая их уже заблокировала.
В одном из случаев вредоносное ПО отслеживало сообщения в Telegram по определенным ключевым словам, связанным с криптовалютами. Как только такое ключевое слово бывало распознано, вредоносное ПО отправляло сообщение на сервер злоумышленника.
Аналитики пришли к выводу, что мошенники нацелены на пользователей, говорящих по-китайски. Telegram и WhatsApp заблокированы в Китае уже несколько лет. Поэтому пользователи этих соцсетей в Китае используют для доступа к ним VPN.
«Помимо троянских приложений WhatsApp и Telegram для Android, мы также обнаружили троянские версии тех же приложений для Windows», — заявили в ESET.
Ранее в ESET Research выяснили, что начиная с мая 2021 года десятки мобильных приложений использовали при хищении криптовалюты троянизированную программу-кошелек для платформ Android и iOS. Эксперты ESET установили, что авторы вредоносного кода провели глубокий анализ легальных приложений. Это позволило внедрить собственный код в неявные и труднодоступные для обнаружения места программ. При этом модифицированные злоумышленниками приложения полностью сохранили свою функциональность.