Clipper malveri predstavljaju ozbiljan problem za korisnike računara, posebno onima koji poseduju kriptovalute
U posljednjih nekoliko mjeseci, računari sa operativnim sistemima Android i Windows postali su meta napadača koji koriste tehnike zloupotrebe zvane clipper malveri.
Njihova taktika je da korisnici preuzmu inficirane aplikacije popularnih mesindžera, kao što su Telegram ili WhatsApp, sa lažnih web sajtova. Preuzimanjem ovih aplikacija, korisnici su u stanju da inficiraju svoje uređaje, te potencijalno izgube digitalna sredstva koja posjeduju.
Android/Clipper.C
Cliper Malver je prvo pronađen u aplikaciji MetaMask koja je dodatak za pregledač koji korisnicima omogućava da obavljaju Ethereum transakcije preko regularnih web sajtova. Dodatak je bio dostupan na Chrome-u, Firefox-u i Brave pregledaču, ali firma koja razvija MetaMask nema aplikaciju za Android ili iOS uređaje što znači da su napadači koristili lažnu verziju MetaMaska da bi opljačkali žrtve.
Ovaj malver pojavio se 2017. godine na Windows platformi, dok je 2018. malver uočen u aplikacijama u alternativnim prodavnicama aplikacija za Android. U februaru 2019. godine, ovaj malver je otkriven u Google Play prodavnici. Malver, nazvan Android/Clipper.C, koristi činjenicu da korisnici kriptovaluta obično ne unose adrese svojih online novčanika ručno, već umjesto da kucaju, imaju običaj da kopiraju adrese u privremenu memoriju (clipboard) gdje malver zamjenjuje adresu žrtve adresom napadača.
Napadači su kreirali čitav lanac napada koji počinje sa lažnim oglasima u rezultatima Google pretrage, koji vode do stotina YouTube kanala, koji ih zatim usmjeravaju na web sajtove koji liče na zvanične web sajtove Telegrama i WhatsApp-a. Ove aplikacije obično traže od korisnika da preuzmu paket Android APK, koji obično sadrži trojance za daljinski pristup (RAT).
Zapravo, četiri klastera Android klipera mogu da promjene adrese novčanika, kao i da prikupljaju informacije o uređaju i podatke Telegrama, uključujući i poruke i kontakte. Takođe, neke od ovih aplikacija koriste optičko prepoznavanje znakova (OCR) za prepoznavanje teksta sa skrinšotova sačuvanih na kompromitovanim uređajima, što je još jedna novina za Android malvere.
Lažni Android APK paketi
ESET je pronašao nekoliko lažnih Android APK paketa: org.telegram.messenger, org.telegram.messenger.web2, org.tgplus.messenger, io.busniess.va.whatsapp i com.whatsapp.
Istraživači su takođe pronašli dva Windows klastera, jedan koji je dizajniran za zamjenu adresa novčanika i drugu grupu koja distribuira trojance za daljinski pristup (RAT) umjesto clippera da bi stekla kontrolu nad zaraženim računarima i izvršila krađu kriptovaluta.
Ova kampanja je usmjerena na korisnike koji govore kineski, vjerovatno zato što su Telegram i WhatsApp blokirani u ovoj zemlji pa „ljudi koji žele da koriste ove usluge moraju da pribjegnu indirektnim sredstvima da ih dobiju“, rekli su istraživači. To je „prilika za sajber kriminalce da zloupotrebe situaciju.“
Četiri kategorije klipera
Clipper malveri se mogu klasifikovati u nekoliko kategorija prema načinu na koji funkcionišu. Prva grupa napadača cilja na kriptovalute žrtava, a neke od njih ciljaju i na novčanike za čuvanje kriptovaluta. Ovaj način napada može da bude veoma uspješan, posebno u slučajevima kada žrtve ne unose adrese novčanika ručno, već koriste privremenu memoriju (clipboard) za premiještanje adresa.
Druga kategorija clipper malvera koristi optičko prepoznavanje znakova (OCR) za prepoznavanje teksta sa skrinšotova sačuvanih na kompromitovanim uređajima. Ovo je još jedna novina za Android malvere i omogućava napadačima da preuzmu seed frazu žrtve, što im omogućava da isprazne novčanik.
Treća kategorija napadača prati razgovore u Telegramu čekajući određene ključne reči koje se odnose na kriptovalute. Kada se prepozna takva ključna reč, malver šalje kompletnu poruku, zajedno sa korisničkim imenom, imenom grupe ili kanala, na server napadača.
Posljednja kategorija klipera prati i kontakte i poruke klijenata Telegrama, što napadačima omogućava da se ukrcaju u komunikaciju između žrtve i njene društvene mreže.
Kako spriječiti napade?
Korisnici Androida, posebno oni koji imaju posla sa kripto-valutom na svojim Android telefonima, trebalo bi da pripaze na ovaj malver jer je njegovo prisustvo u drugim aplikacijama sasvim moguće.
U cilju prevencije napada ovog tipa, potrebno je da korisnici budu veoma oprezni pri preuzimanju aplikacija sa nepoznatih ili sumnjivih izvora. Kada se odluče da preuzmu mesindžer, važno je da se pobrinemo da se sa zvaničnog web sajta preuzme originalna aplikacija. Takođe, potrebno je da se ažuriraju svi zaštićeni programi, kako bi se obezbijedila maksimalna zaštita uređaja.
Uz to, važno je da se pridržavaju osnovnih bezbjednosnih procedura, kao što je korišćenje jakih lozinki i često mijenjanje šifri. Takođe, potrebno je da se koriste antivirusni i antimalverski programi koji će pomoći da se detektuju sumnjive aplikacije i pruži dodatnu zaštitu.
Konačno, trebalo bi se izbjegavati preuzimanje i instaliranje aplikacija sa nepoznatih ili sumnjivih web sajtova. Takođe, prije nego što se klikne na linkove koji se šalju u e-porukama ili u chatu, potrebno je da se pažljivo provjeri da li je link legitiman i da li vodi ka zvaničnom web sajtu.
Clipper malveri predstavljaju ozbiljan problem za korisnike računara, posebno onima koji poseduju kriptovalute. Uprkos tome, postoji nekoliko načina na koje se može sprečiti napad. Najbolji način je da se koriste odgovarajuća tehnološka rešenja za zaštitu uređaja i da se pridržavaju osnovnih bezbjednosnih procedura. Takođe, potrebno je da korisnici uvijek budu svjesni mogućnosti da budu žrtve clipper malvera, pa da se izbjegavaju sumnjivi web sajtovi i linkovi koji se šalju u e-porukama ili u chatu.
Krajnji cilj je da se obezbjedi da korisnici budu u stanju da koriste svoje računare i kriptovalute bez straha od napada.
(IT mixer)