Троянские приложения WhatsApp и Telegram охотятся за криптовалютными кошельками

security IOC
Опубликовано

Исследователи ESET обнаружили десятки сайтов-подражателей Telegram и WhatsApp, нацеленных в основном на пользователей Android и Windows, с троянскими версиями этих приложений для обмена мгновенными сообщениями.

Большинство обнаруженных ESET вредоносных приложений представляют собой клипперы - тип вредоносного ПО, которое крадет или изменяет содержимое буфера обмена. Все они охотятся за криптовалютными средствами жертв, причем некоторые из них нацелены на криптовалютные кошельки. Впервые ESET увидели клипперы для Android, нацеленные именно на обмен мгновенными сообщениями. Более того, некоторые из этих приложений используют оптическое распознавание символов (OCR) для распознавания текста со скриншотов, хранящихся на взломанных устройствах, что является еще одним первым случаем для вредоносных программ для Android.

  • Угрозы охотятся за криптовалютными средствами жертв, используя троянизированные приложения Telegram и WhatsApp для Android и Windows.
  • Вредоносное ПО может подменять адреса криптовалютных кошельков, которые жертва отправляет в сообщениях чата, на адреса, принадлежащие злоумышленнику.
  • Некоторые клипперы используют оптическое распознавание символов для извлечения текста из скриншотов и кражи фраз для восстановления криптовалютных кошельков.
  • Помимо клипперов, мы также обнаружили трояны удаленного доступа (RAT), поставляемые с вредоносными версиями WhatsApp и Telegram для Windows.

Indicators of Compromise

IPv4

  • 103.212.230.41
  • 104.233.144.130
  • 137.220.141.13
  • 180.215.88.227

Domains

  • api.oktask88.com
  • b.pic447.com
  • coinfacai.com
  • department.microsoftmiddlename.tk
  • hao-telegram.com
  • j.pic6005588.com
  • jk.cqbblmy.com
  • telegcn.com
  • telegram.farm
  • telegram.gs
  • telegram.land
  • telegram-c.com
  • telegramnm.org
  • telegramxs.com
  • telegramzn.com
  • telegrmam.org
  • telegrms.com
  • telegrom.org
  • telegron.org
  • telegrrom.com
  • telezzh.com
  • tevegram.com
  • token.jdy.me
  • t-telegrm.com
  • upload.buchananapp.com
  • whotsapp.net
  • x-telegram.app

SHA1

  • 014f1e43700ab91c8c5983309751d952101b8aca
  • 0936d24fc10db2518973c17493b6523ccf8fce94
  • 0a79b29fc0b04d3c678e9b95bff72a9558a632ac
  • 14728633636912fb91ae00342d7c6d7050414d85
  • 18de3283402fe09d2ff6771d85b9db6fe2b9d05e
  • 259fe1a121ba173b2795901c426922e32623efda
  • 2dcdaaaef094d60bc0910f816cbd42f3c76ebee9
  • 31878b6fc6f96703ac27ebc8e786e01f5aea5819
  • 34fa6e6b09e08e84d3c544f9039cb14624080a19
  • 366d12f749b829b436474c9040e8102cec2aacb4
  • 5243ad8bbfbc4327b8c4a6fd64401912f46886ff
  • 564f7a88cd5e1ff8c318796127a3da30bdde2ad6
  • 58f7e6e972774290df613553fa2120871436b9aa
  • 5e4021ae96d4b28dd27382e3520e8333288d7095
  • 646a70e4f7f4502643cdb9aa241acc89c6d6f1c0
  • 70b8b5a0bfbdbbfa6ba6c86258c593ad21a89829
  • 7916bf7ff4fa9901a0c6030cc28933a143c2285f
  • 8336bf07683f40b38840865c60db1d08f1d1789d
  • 858a5b578a0d8a0d511e502de16ec2547e23b375
  • 88aac1c8ab43cd540e0677baa1a023fda88b70c4
  • 88f34441290175e3ae2fe0491bfc206899dd158b
  • 8e98438103c855c3e7723140767749deaf8ca263
  • a2883f344831494c605598b4d8c69b23a896b71a
  • a51a0bcce028966c4fcbb1581303980cf10669e0
  • a565875edf33016d8a231682cc4c19fcc43a9a0e
  • a5eb91733fd5cdc8386481ea9856c20c71254713
  • b09e560001621ad79be31a8822ca72f3bac46f64
  • b26ec31c9e8d2cc84df8b771f336f64a12dbd484
  • c3ed82a01c91303c0bec36016d817e21615eaa07
  • c5ed56584f224e7924711ef47b39505d4d1c98d2
  • ce9cbb3641036e7053c494e2021006563d13e1a6
  • cfd900b77494574a01ea8270194f00e573e80f94
  • d2d2b0ee45f0540b906de25b1269d257578a25bd
  • d44973c623e680ee0a4e696c99d1ab8430d2a407
  • e67065423da58c0025e411e8e56e0fd6be049474
  • f3d2ccb4e7049010b18a3300abdeb06cf3b75ffa
  • f8005f22f6e8ee31953a80936032d9e0c413fd22
Похожие записи:
  1. FurBall Android malware IOCs
  2. StrongPity Backdoor IOCs
  3. Transparent Tribe APT IOCs - Part 2
  4. Fantasy Wiper IOCs
  5. Operation LiberalFace IOCs
Android Clipper ESET
Добавить комментарий