I ricercatori ESET hanno identificato di recente un elevato numero di applicazioni (e conseguenti siti Web) fraudolenti che infettano il dispositivo preso di mira con nuovi malware “clipper” capaci di rubare le informazioni memorizzate nella clipboard (il copia/incolla) del dispositivo stesso per rubarne il contenuto.
Un’attività, come vedremo, finalizzata al furto di criptovaluta e informazioni sensibilmente utili al guadagno economico agli attori della minaccia.
Indice degli argomenti
Dozzine di app di messaggistica fraudolente
Dai risultati diffusi dalla ricerca di ESET sono emerse dozzine di applicazioni false di WhatsApp e Telegram. Si è verificato che la compagna in questione circola per mezzo di siti Web di phishing, distribuiti da campagne pubblicitarie di Google Ads, tramite video sponsorizzati di falsi canali su YouTube.
La frode si rivolge principalmente a utenza Windows e Android, invitando le vittime all’installazione, mediante pagine Web malevole e studiate ad hoc, delle applicazioni di messaggistica istantanea estremamente popolari armate di malware di tipo “clipper”.
I malware di tipo “clipper” sono quei software malevoli che vengono concepiti con l’intento di carpire o alterare il contenuto memorizzato all’interno della clipboard del dispositivo che li ospita. Ossia, la memoria che sfruttiamo per le operazioni di “copia” e “incolla” di stringhe. Al giorno d’oggi questa funzionalità viene sempre più utilizzata dagli utenti per la comodità di poter trasferire da una app ad un’altra, o da un testo ad un altro, una stringa particolarmente lunga e ostica da ricordare a mente per poterla riscrivere senza automatismi.
In queste stringhe rientrano, sempre più spesso, dati importanti come codici IBAN o indirizzi di wallet nel caso delle criptovalute.
Un dispositivo infetto con un malware clipper, dunque, non ha mai la certezza che il dato che l’utente copia sia lo stesso che viene poi incollato nel punto di destinazione. Proprio perché il malware stesso è studiato per modificare questa informazione con dati che garantiscono un guadagno economico ai criminali dietro il controllo della campagna malevola.
È esattamente ciò che accade con la campagna identificata da ESET. Il malware in questione, infatti, tramite un legittimo plug-in di machine learning chiamato ML Kit su Android, sfrutta la tecnologia OCR per analizzare gli screenshot eventualmente contenenti informazioni rilevanti e sostituire tutto ciò che possa corrispondere con un indirizzo di wallet di criptovalute, intercettato all’interno della clipboard dell’utente.
Un altro dettaglio importante di questa campagna è che i ricercatori hanno evidenziato la presenza di grandi quantità di siti Web fake, in lingua cinese. In effetti queste applicazioni in Cina sono vietate dunque gli utenti sono sempre alla ricerca di strade alternative per poterle installare.
Così la creazione di un falso canale YouTube e la successiva sponsorizzazione Google Ads farà salire la loro posizione sui risultati di ricerca, ovviamente a discapito della sicurezza degli utenti inconsapevoli che tentano l’installazione.
Il tutto viene moltiplicato con la creazione di tanti canali YouTube falsi, accompagnati da tante campagne pubblicitarie indipendenti, mostrando una fitta rete di attaccanti attivi su questo fronte.
Come difendersi dalle false app Telegram e WhatsApp
È importante ricordare che le applicazioni malevole che vengono diffuse con questa campagna, sono reali applicazioni di messaggistica istantanea: Telegram è stato creato incorporando tutto il codice open source legittimo della vera app, al quale si aggiunge la funzionalità di malware. Per WhatsApp (non open source) è stato necessario spacchettare il file binario, per poi ricostruirlo con l’aggiunta del malware.
L’utente, dunque, si trova di fatto a utilizzare l’app legittima senza sapere però che, in background, sta operando un trojan che capta tutte le informazioni sensibili che l’utente trasferisce.
Una delle lezioni che emergono da questa ricerca è sicuramente quella di non installare mai applicazioni fuori dagli store ufficiali. Se uno store non fornisce tale applicazione è importante fare molta attenzione a cosa si installa e da quale sito la si sta reperendo.
Assicurarsi sempre di effettuare download di file APK unicamente dai siti Web ufficiali delle app note che vogliamo installare (che spesso, peraltro, riporteranno all’installazione da app store).
Nel caso di Telegram, ad esempio, l’APK viene fornito dal sito Web ufficiale, ma facciamo attenzione a quando vengono condivisi link di download esterni o di terze parti, su canali alternativi: e-mail, YouTube, SMS eccetera.
Lo stesso discorso dovremmo affrontarlo anche per le applicazioni su computer: prima di installare qualsiasi applicazione sul sistema Windows da altre fonti, è sempre una buona regola assicurarsi di verificare l’autenticità della fonte e dell’app.
