ESET-Forscher haben Dutzende von gefälschten Telegram- und WhatsApp-Webseiten entdeckt, die hauptsächlich Android- und Windows-Nutzer mit trojanisierten Versionen dieser Instant-Messaging-Apps ansprechen. Die meisten der von uns identifizierten bösartigen Apps sind Clipper - eine Art von Malware, die den Inhalt der Zwischenablage stiehlt oder verändert. Alle haben es auf die Kryptowährungen der Opfer abgesehen, wobei mehrere auf Kryptowährungs-Wallets abzielen. Dies war das erste Mal, dass wir Android-Clipper gesehen haben, die sich speziell auf Instant Messaging konzentrieren. Darüber hinaus verwenden einige dieser Apps eine optische Zeichenerkennung (OCR), um Text aus Screenshots zu erkennen, die auf den kompromittierten Geräten gespeichert sind, was eine weitere Premiere für Android-Malware darstellt.
Die wichtigsten Punkte dieses Blogposts
- ESET Research hat den ersten Fall von Clippern gefunden, die in Instant Messaging-Apps integriert sind.
- Bedrohungsakteure haben es mit trojanisierten Telegram- und WhatsApp-Anwendungen für Android und Windows auf die Kryptowährungen der Opfer abgesehen.
- Die Malware kann die Kryptowährungs-Wallet-Adressen, die das Opfer in Chat-Nachrichten sendet, gegen Adressen austauschen, die dem Angreifer gehören.
- Einige der Clipper missbrauchen die optische Zeichenerkennung, um Text aus Screenshots zu extrahieren und Phrasen zur Wiederherstellung von Kryptowährungs-Wallets zu stehlen.
- Neben Clippern fanden wir auch Remote-Access-Trojaner (RATs), die mit bösartigen Windows-Versionen von WhatsApp und Telegram gebündelt waren.
Noch vor der Gründung der App Defense Alliance entdeckten wir den ersten Android-Clipper bei Google Play, was Google dazu veranlasste, die Android-Sicherheit zu verbessern, indem es die systemweiten Zwischenablageoperationen für im Hintergrund laufende Apps ab Android 10 einschränkte. Wie unsere neuesten Erkenntnisse leider zeigen, hat diese Maßnahme das Problem nicht vollständig ausmerzen können: Wir haben nicht nur die ersten Instant-Messaging-Clipper identifiziert, sondern auch mehrere Gruppen von ihnen aufgedeckt. Der Hauptzweck der von uns entdeckten Clipper besteht darin, die Messaging-Kommunikation des Opfers abzufangen und alle gesendeten und empfangenen Kryptowährungs-Wallet-Adressen durch Adressen zu ersetzen, die den Angreifern gehören. Neben den trojanisierten WhatsApp- und Telegram-Android-Apps fanden wir auch trojanisierte Windows-Versionen der gleichen Apps.
Natürlich sind dies nicht die einzigen nachgeahmten Anwendungen, die es auf Kryptowährungen abgesehen haben. Erst Anfang 2022 haben wir Bedrohungsakteure identifiziert, die sich darauf konzentrieren, legitime Kryptowährungsanwendungen neu zu verpacken und zu versuchen, Recovery-Phrasen der Wallets ihrer Opfer zu stehlen.
Überblick über die trojanisierten Anwendungen
Aufgrund der unterschiedlichen Architektur von Telegram und WhatsApp mussten die Bedrohungsakteure einen anderen Ansatz wählen, um trojanisierte Versionen der beiden Anwendungen zu erstellen. Da es sich bei Telegram um eine Open-Source-App handelt, ist es relativ einfach, den Code zu ändern und dabei die Messaging-Funktionalität der App beizubehalten. Auf der anderen Seite ist der Quellcode von WhatsApp nicht öffentlich zugänglich, was bedeutet, dass die Bedrohungsakteure, bevor sie die Anwendung mit bösartigem Code neu verpacken konnten, zunächst eine eingehende Analyse der App-Funktionen durchführen mussten, um die spezifischen Stellen zu identifizieren, die geändert werden sollten.
Obwohl sie denselben allgemeinen Zweck erfüllen, enthalten die trojanisierten Versionen dieser Apps verschiedene zusätzliche Funktionen. Um die Analyse und Erklärung zu erleichtern, haben wir die Apps anhand dieser Funktionen in verschiedene Cluster unterteilt. In diesem Blogpost werden wir vier Cluster von Android-Clippern und zwei Cluster von bösartigen Windows-Apps beschreiben. Wir werden nicht auf die Bedrohungsakteure hinter den Apps eingehen, da es mehrere von ihnen gibt.
Bevor wir jedoch kurz auf diese App-Cluster eingehen, sollten wir erkklären, was ein Clipper ist und warum Cyberdiebe ihn verwenden. In Malware-Kreisen ist ein Clipper ein Stück bösartiger Code, der Inhalte in der Zwischenablage eines Systems kopiert oder verändert. Clipper sind für Cyberkriminelle, die Kryptowährungen stehlen wollen, deshalb so attraktiv, weil die Adressen von Online-Geldbörsen für Kryptowährungen aus langen Zeichenketten bestehen und die Benutzer dazu neigen, die Adressen über die Zwischenablage zu kopieren und einzufügen, anstatt sie einzutippen. Ein Clipper kann sich dies zunutze machen, indem er den Inhalt der Zwischenablage abfängt und heimlich alle dort befindlichen Kryptowährungs-Wallet-Adressen durch eine Adresse ersetzt, auf die die Diebe zugreifen können.
Cluster 1 der Android-Clipper ist auch der erste Fall von Android-Malware, die OCR verwendet, um Text aus Screenshots und Fotos zu lesen, die auf dem Gerät des Opfers gespeichert sind. OCR wird eingesetzt, um eine Seed-Phrase zu finden und zu stehlen. Dabei handelt es sich um einen mnemonischen Code, der aus einer Reihe von Wörtern besteht, die für die Wiederherstellung von Kryptowährungs-Wallets verwendet werden. Sobald die böswilligen Akteure in den Besitz einer Seed-Phrase gelangen, können sie alle Kryptowährungen direkt aus der zugehörigen "Geldbörse" stehlen.
Im Vergleich zum Einsatz fortschrittlicher Technologie in Cluster 1 ist Cluster 2 sehr einfach. Diese Malware tauscht bei der Chat-Kommunikation einfach die Kryptowährungs-Wallet-Adresse des Opfers gegen die Adresse des Angreifers aus, wobei die Adressen entweder fest codiert sind oder dynamisch vom Server des Angreifers abgerufen werden. Dies ist der einzige Android-Cluster, in dem wir neben Telegram auch trojanisierte WhatsApp-Samples identifiziert haben.
Cluster 3 überwacht die Telegram-Kommunikation auf bestimmte Schlüsselwörter im Zusammenhang mit Kryptowährungen. Sobald ein solches Schlüsselwort erkannt wird, sendet die Malware die vollständige Nachricht an den Server des Angreifers.
Schließlich tauschen die Android-Clipper in Cluster 4 nicht nur die Wallet-Adresse des Opfers aus, sondern sie stehlen auch interne Telegram-Daten und grundlegende Geräteinformationen.
Was die Windows-Malware betrifft, so gab es eine Gruppe von Telegram-Kryptowährungs-Clippern, deren Mitglieder einfach Telegram-Nachrichten abfangen und modifizieren, um Kryptowährungs-Wallet-Adressen auszutauschen, genau wie die zweite Gruppe von Android-Clippern. Der Unterschied liegt im Quellcode der Windows-Version von Telegram, der eine zusätzliche Analyse seitens der böswilligen Akteure erforderte, um die Eingabe ihrer eigenen Wallet-Adresse zu ermöglichen.
Abweichend vom üblichen Muster besteht der zweite Windows-Cluster nicht aus Clippern, sondern aus Remote Access Trojanern (RATs), die eine vollständige Kontrolle über das System des Opfers ermöglichen. Auf diese Weise sind die RATs in der Lage, Kryptowährungs-Geldbörsen zu stehlen, ohne den Anwendungsfluss abzufangen.
Verbreitung
Anhand der Sprache, die in den nachgeahmten Anwendungen verwendet wird, scheint es, dass die Betreiber dahinter hauptsächlich chinesischsprachige Nutzer ansprechen.
Da sowohl Telegram als auch WhatsApp seit mehreren Jahren in China blockiert sind, Telegram seit 2015 und WhatsApp seit 2017, müssen Menschen, die diese Dienste nutzen möchten, auf indirekte Wege zurückgreifen, um sie zu erhalten. Es überrascht nicht, dass dies eine gute Gelegenheit für Cyberkriminelle ist, die Situation zu missbrauchen.
Bei den in diesem Blogpost beschriebenen Angriffen haben die Bedrohungsakteure zunächst Google-Anzeigen geschaltet, die zu betrügerischen YouTube-Kanälen führten, die dann die leichtgläubigen Betrachter auf nachgeahmte Telegram- und WhatsApp-Websites umleiteten, wie in Abbildung 1 dargestellt. Darüber hinaus bewarb eine bestimmte Telegram-Gruppe auch eine bösartige Version der App, die vorgab, einen kostenlosen Proxy-Service außerhalb Chinas anzubieten (siehe Abbildung 2). Als wir diese betrügerischen Anzeigen und die dazugehörigen YouTube-Kanäle entdeckten, meldeten wir sie an Google, das sie alle umgehend abschaltete.
Abbildung 1. Verbreitungsdiagram
Abbildung 2. Trojanisierte Telegram-App, die in einer Telegram-Gruppe beworben wird
Auf den ersten Blick scheint es, dass die Art und Weise, wie diese Nachahmer-Apps verbreitet werden, ziemlich kompliziert ist. Da Telegram, WhatsApp und die Google Play-App in China blockiert sind, sind Android-Nutzer dort möglicherweise daran gewöhnt, mehrere Hürden zu überwinden, wenn sie offiziell nicht verfügbare Apps erhalten möchten. Cyberkriminelle sind sich dessen bewusst und versuchen, ihre Opfer von Anfang an in die Irre zu führen - etwa, wenn das Opfer bei Google nach einer WhatsApp- oder Telegram-App zum Herunterladen sucht. Die Bedrohungsakteure haben Google-Anzeigen gekauft (siehe Abbildung 3), die zu YouTube weiterleiten. Das hilft den Angreifern, in den Suchergebnissen ganz oben zu landen, und verhindert, dass ihre gefälschten Websites als Betrug eingestuft werden, da die Anzeigen auf einen legitimen Dienst verweisen, den Google Ads vermutlich als sehr vertrauenswürdig einstuft.
Abbildung 3. Bezahlte Werbung bei der Suche nach chinesischem Telegram
Die Links zu den Nachahmer-Websites finden sich in der Regel im Abschnitt "Kanalinfo" der YouTube-Kanäle. Ein Beispiel für eine solche Beschreibung ist in einer sehr groben Übersetzung in Abbildung 4 zu sehen.
Abbildung 4. Betrügerischer WhatsApp-YouTube-Kanal, der auf eine gefälschte Website verweist
Bei unseren Nachforschungen fanden wir Hunderte von YouTube-Kanälen, die auf Dutzende von gefälschten Telegram- und WhatsApp-Websites verweisen - einige davon sind in Abbildung 5 zu sehen. Diese Websites geben sich als legitime Dienste aus (siehe Abbildung 6) und bieten sowohl Desktop- als auch Mobilversionen der App zum Download an. Keine der untersuchten Apps war im Google Play Store verfügbar.
Abbildung 5. Gefälschte Kanäle auf YouTube
Abbildung 6. Websites, die Telegram und WhatsApp imitieren
Analyse
Wir haben verschiedene Arten von bösartigem Code gefunden, der in legitime Telegram- und WhatsApp-Apps verpackt wurde. Obwohl die analysierten Apps mehr oder weniger zur gleichen Zeit auftauchten und ein sehr ähnliches Muster verwendeten, scheinen sie nicht alle von demselben Bedrohungsakteur entwickelt worden zu sein. Abgesehen davon, dass die meisten der bösartigen Apps in der Lage sind, Kryptowährungsadressen in der Telegram- und WhatsApp-Kommunikation zu ersetzen, gibt es keine Hinweise auf weitere Verbindungen zwischen ihnen.
Während die gefälschten Websites Download-Links für alle Betriebssysteme anbieten, auf denen Telegram und WhatsApp verfügbar sind, leiten alle Linux- und macOS-Links sowie die meisten iOS-Links auf die offiziellen Websites der Dienste um. Bei den wenigen iOS-Links, die zu betrügerischen Websites führen, waren die Apps zum Zeitpunkt unserer Analyse nicht mehr zum Download verfügbar. Windows- und Android-Nutzer sind also die Hauptziele der Angriffe.
Android-Trojaner
Der Hauptzweck der trojanisierten Android-Apps besteht darin, die Chat-Nachrichten der Opfer abzufangen und entweder die Adressen von Kryptowährungs-Wallets gegen die der Angreifer auszutauschen oder sensible Informationen zu stehlen, die es den Angreifern ermöglichen, die Kryptowährungen der Opfer zu stehlen. Dies ist das erste Mal, dass wir Clipper gesehen haben, die speziell auf Instant Messaging abzielen.
Um Nachrichten verändern zu können, mussten die Bedrohungsakteure den Originalcode der Apps beider Dienste gründlich analysieren. Da es sich bei Telegram um eine Open-Source-Anwendung handelt, mussten die Cyberkriminellen lediglich ihren eigenen Schadcode in eine bestehende Version einfügen und diese kompilieren; im Falle von WhatsApp hingegen musste die Binärdatei direkt modifiziert und neu verpackt werden, um die bösartigen Funktionen hinzuzufügen.
Wir haben beobachtet, dass sich die trojanisierten Apps für Telegram beim Ersetzen von Wallet-Adressen anders verhalten als die für WhatsApp. Ein Opfer, das eine bösartige Telegram-App verwendet, sieht weiterhin die ursprüngliche Adresse, bis die Anwendung neu gestartet wird, woraufhin die Adresse des Angreifers angezeigt wird. Im Gegensatz dazu wird die eigene Adresse des Opfers in gesendeten Nachrichten angezeigt, wenn es ein trojanisiertes WhatsApp verwendet, während der Empfänger der Nachricht die Adresse des Angreifers erhält. Dies ist in Abbildung 7 dargestellt.
Abbildung 7. Bösartiges WhatsApp (links) ersetzt die gesendete Wallet-Adresse in der Nachricht für den Empfänger (rechts)
Cluster 1
Cluster 1 ist am interessantesten, da seine Mitglieder den ersten bekannten Fall von OCR-Missbrauch in einer Android-Malware darstellen. In diesem Fall verwenden die trojanisierten Telegram-Apps ein legitimes Plugin für maschinelles Lernen namens ML Kit auf Android, um das Gerät des Opfers nach Bildern mit den Erweiterungen .jpg und .png zu durchsuchen, den gängigsten Screenshot-Formaten auf Android. Die Malware sucht nach Screenshots von Kryptowährungs-Wallet-Wiederherstellungsphrasen (auch als Mnemonics bekannt), die das Opfer möglicherweise als Backup auf dem Gerät gespeichert hat.
In Abbildung 8 ist eine bösartige Funktion zu sehen, die Dateien auf dem Gerät durchläuft und sie durch die OCR-Funktion recognizeText laufen lässt.
Abbildung 8. Schadcode, der für das Abrufen von Bildern und Fotos vom Gerät und deren OCR verantwortlich ist
Wie in Abbildung 9 dargestellt, sendet recognizeText, wenn sie die Zeichenfolge Mnemonic oder 助记词 (Mnemonic auf Chinesisch) in dem aus dem Bild extrahierten Text findet, sowohl den Text als auch das Bild an den C&C-Server. In einigen Fällen wurde die Liste der Schlüsselwörter auf elf Einträge erweitert, insbesondere 助记词, Mnemonic, memorizing, Memorizing, recovery phrase, Recovery Phrase, wallet, METAMASKA, Phrase, secret, Recovery phrase.
Abbildung 9. Das Bild und der darin erkannte Text werden an den C&C-Server des Angreifers gesendet
Cluster 2
Im Gegensatz zu Cluster 1, der fortschrittliche Methoden zur Unterstützung seiner bösartigen Aktivitäten einsetzt, ist der zweite Cluster von Android-Clippern der am wenigsten komplizierte unter den vier: Diese bösartigen Apps tauschen einfach Wallet-Adressen aus, ohne weitere bösartige Funktionen. Die Trojaner in Cluster 2 tauschen meist die Adressen von Bitcoin-, Ethereum- und TRON-Coin-Wallets aus, wobei einige von ihnen auch in der Lage sind, Wallets für Monero und Binance auszutauschen. Die Art und Weise, wie die Nachrichten abgefangen und verändert werden, ist in den Abbildungen 10 und 11 zu sehen.
Figure 10. Telegram message interception by malicious code
Abbildung 11. Bösartiger Code, der für das Ersetzen von Wallet-Adressen in Telegram-Nachrichten verantwortlich ist
Cluster 2 ist der einzige Android-Cluster, in dem wir nicht nur Telegram-, sondern auch WhatsApp-Samples gefunden haben. Beide Arten von trojanisierten Apps verfügen entweder über eine fest kodierte Liste von Angreifer-Wallet-Adressen (siehe Abbildung 11) oder fordern diese dynamisch von einem C&C-Server an (siehe Abbildung 12).
Abbildung 12. Vom C&C-Server empfangene Bitcoin-, Ethereum- und TRON-Wallet-Adressen
Cluster 3
Dieser Cluster überwacht die Telegram-Kommunikation auf bestimmte Schlüsselwörter in chinesischer Sprache, wie z. B. "mnemonisch", "Bank", "Adresse", "Konto" und "Yuan". Einige der Schlüsselwörter sind fest codiert, während andere vom C&C-Server empfangen werden, was bedeutet, dass sie jederzeit geändert oder erweitert werden können. Sobald ein Cluster 3-Clipper ein Schlüsselwort erkennt, wird die gesamte Nachricht zusammen mit dem Benutzernamen, der Gruppe oder dem Kanalnamen an den C&C-Server gesendet, wie in Abbildung 13 zu sehen ist.
Abbildung 13. Clipper exfiltriert eine Nachricht, wenn ein Schlüsselwort entdeckt wurde
Cluster 4
Der letzte identifizierte Cluster von Android-Clippern, Cluster 4, kann nicht nur Kryptowährungsadressen ersetzen, sondern auch die Telegram-Daten des Opfers stehlen, indem er die Konfigurationsdateien, die Telefonnummer, die Geräteinformationen, Bilder, den Telegram-Benutzernamen und die Liste der installierten Apps ausliest. Die Anmeldung bei diesen bösartigen Versionen der Telegram-App bedeutet, dass alle gespeicherten persönlichen internen Daten, wie Nachrichten, Kontakte und Konfigurationsdateien, für die Bedrohungsakteure sichtbar werden.
Zur Veranschaulichung wollen wir uns auf die aufdringlichste trojanisierte App dieses Clusters konzentrieren: Diese Malware durchsucht den internen Telegram-Speicher nach allen Dateien, die kleiner als 5,2 MB sind und keine .jpg-Erweiterung haben, und stiehlt sie. Darüber hinaus kann sie auch grundlegende Informationen über das Gerät, die Liste der installierten Anwendungen und Telefonnummern ausspähen. Alle gestohlenen Dateien werden in einer info.zip-Datei archiviert, die dann zum C&C gesendet wird. Alle Schadprogramme innerhalb dieses Clusters verwenden denselben ZIP-Dateinamen, was auf einen gemeinsamen Autor oder eine gemeinsame Codebasis schließen lässt. Die Liste der Dateien, die von unserem Analysegerät exfiltriert wurden, ist in Abbildung 14 zu sehen.
Abbildung 14. Private Telegram-Benutzerdateien, die zum C&C-Server exfiltriert werden
Windows-Trojaner
Im Gegensatz zu den trojanisierten Android-Apps, die wir entdeckt haben, bestehen die Windows-Versionen nicht nur aus Clippern, sondern auch aus Remote-Access-Trojanern. Während sich die Clipper hauptsächlich auf den Diebstahl von Kryptowährungen konzentrieren, sind die RATs in der Lage, eine breitere Palette bösartiger Aktionen durchzuführen, z. B. Screenshots zu erstellen und Dateien zu löschen. Einige von ihnen sind auch in der Lage, die Zwischenablage zu manipulieren, was ihnen den Diebstahl von Kryptowährungs-Wallets ermöglicht. Die Windows-Apps wurden unter denselben Domains gefunden wie die Android-Versionen.
Kryptowährungs-Clipper
Wir haben zwei Samples von Windows-Kryptowährungs-Clippern entdeckt. Genau wie Cluster 2 der Android-Clipper fangen diese Nachrichten ab, die über einen trojanisierten Telegram-Client gesendet werden, und verändern sie. Sie verwenden die gleichen Wallet-Adressen wie der Android-Cluster, was bedeutet, dass sie höchstwahrscheinlich vom gleichen Bedrohungsakteur stammen.
Das erste der beiden Clipper-Samples wird als portable ausführbare Datei verteilt, bei der alle erforderlichen Abhängigkeiten und Informationen direkt in die Binärdatei eingebettet sind. Auf diese Weise findet nach der Ausführung des bösartigen Programms keine Installation statt, so dass das Opfer nicht merkt, dass etwas nicht in Ordnung ist. Die Malware fängt nicht nur Nachrichten zwischen Benutzern ab, sondern auch alle gespeicherten Nachrichten, Kanäle und Gruppen.
Ähnlich wie im verwandten Android Cluster 2, verwendet der für die Änderung der Nachrichten verantwortliche Code fest kodierte Muster, um die Kryptowährungsadressen in den Nachrichten zu identifizieren. Diese sind in Abbildung 15 gelb hervorgehoben. Wenn er sie findet, ersetzt der Code die ursprünglichen Adressen durch die entsprechenden Adressen des Angreifers (rot hervorgehoben). Dieser Clipper konzentriert sich auf Bitcoin, Ethereum und TRON.
Abbildung 15. Dekompilierter Code mit fest einkodierten Mustern und Wallet-Adressen
Der zweite Clipper verwendet einen Standard-Installationsprozess, der dem des legitimen Telegram-Installationsprogramms gleicht. Auch wenn der Prozess nach außen hin unschuldig erscheint, ist die installierte ausführbare Datei alles andere als harmlos. Im Vergleich zum legitimen Telegram enthält sie zwei zusätzliche Dateien, die mit einer Ein-Byte-XOR-Chiffre mit dem Schlüssel 0xff verschlüsselt sind. Die Dateien enthalten eine C&C-Serveradresse und eine Agent-ID, die zur Kommunikation mit dem C&C verwendet wird.
Dieses Mal werden keine fest kodierten Adressen verwendet. Stattdessen erhält der Clipper sowohl die Nachrichtenmuster als auch die entsprechenden Kryptowährungs-Wallet-Adressen vom C&C über eine HTTP-POST-Anfrage. Die Kommunikation mit dem C&C funktioniert auf die gleiche Weise wie in Cluster 2 der Android-Clipper (Abbildung 12).
Neben dem Austausch von Kryptowährungs-Wallet-Adressen kann dieser Clipper auch die Telefonnummer und Telegram-Anmeldedaten des Opfers stehlen. Wenn eine Person, die durch diese trojanisierte App kompromittiert wurde, versucht, sich auf einem neuen Gerät anzumelden, wird sie aufgefordert, den Anmeldecode einzugeben, der an ihr Telegram-Konto gesendet wurde. Sobald der Code eintrifft, wird die Benachrichtigung automatisch von der Malware abgefangen, und der Verifizierungscode sowie das optionale Passwort gelangen in die Hände der Bedrohungsakteure.
Ähnlich wie beim ersten Windows Clipper Sample wird jede Nachricht, die mit dieser bösartigen Version von Telegram gesendet wird und Bitcoin-, Ethereum- oder TRON-Wallet-Adressen enthält, so verändert, dass die Adressen durch die vom Angreifer bereitgestellten ersetzt werden (siehe Abbildung 16). Anders als bei der Android-Version können die Opfer jedoch nicht feststellen, dass ihre Nachrichten manipuliert wurden, ohne die Chatverläufe zu vergleichen: Selbst nach einem Neustart der App sieht der Absender immer die ursprüngliche Version der Nachricht, da der entsprechende Teil des Codes beim Start der Anwendung erneut ausgeführt wird; der Empfänger hingegen erhält nur die Wallet des Angreifers.
Abbildung 16. Legitimer Telegram-Client (links) und trojanisierter Client (rechts)
Remote Access Trojaner
Der Rest der von uns entdeckten bösartigen Anwendungen wird in Form von Telegram- und WhatsApp-Installationsprogrammen verteilt, die mit Remote-Access-Trojanern gebündelt sind. Sobald die RATs Zugang zum System erhalten haben, müssen weder Telegram noch WhatsApp laufen, damit die RATs funktionieren. In den beobachteten Samples wurde der bösartige Code meist indirekt durch DLL-Side-Loading ausgeführt, so dass die Angreifer ihre Aktionen hinter der Ausführung legitimer Anwendungen verstecken konnten. Diese RATs unterscheiden sich deutlich von den Clippern, da sie sich nicht explizit auf den Diebstahl von Kryptowährungs-Geldbörsen konzentrieren. Stattdessen enthalten sie mehrere Module mit einer breiten Palette von Funktionen, die es den Bedrohungsakteuren ermöglichen, Aktionen wie das Stehlen von Daten aus der Zwischenablage, das Protokollieren von Tastenanschlägen, das Abfragen der Windows-Registrierung, das Erfassen des Bildschirms, das Abrufen von Systeminformationen und das Ausführen von Dateioperationen durchzuführen. Jeder von uns entdeckte RAT verwendete eine leicht unterschiedliche Kombination von Modulen.
Mit einer Ausnahme basierten alle von uns analysierten Fernzugriffs-Trojaner auf dem berüchtigten Gh0st RAT, einer Malware, die aufgrund ihrer öffentlichen Verfügbarkeit häufig von Cyberkriminellen verwendet wird. Interessanterweise verwendet der Code von Gh0st RAT ein spezielles Paketflag, das standardmäßig auf Gh0st gesetzt ist, ein Wert, den Bedrohungsakteure gerne anpassen. Wenn sie das Flag ändern, können sie etwas verwenden, das für ihre Version der Malware sinnvoller ist, oder sie können überhaupt keine Flags verwenden. Sie können auch, wie in einem Fall, der während unserer Analyse entdeckt wurde, ihre tiefsten Wünsche offenbaren, indem sie das Flag in "lambo" ändern (wie der Spitzname für die italienische Luxusautomarke; siehe Abbildung 17).
Abbildung 17. Hex-rays dekompilierter Code mit Flag lambo
Der einzige RAT in der Gruppe, der nicht vollständig auf Gh0st RAT basiert, verwendet den Code der HP-Socket-Bibliothek zur Kommunikation mit seinem C&C-Server. Im Vergleich zu den anderen RATs verwendet dieser RAT deutlich mehr Anti-Analyse-Laufzeitprüfungen während seiner Ausführungskette. Der Quellcode unterscheidet sich zwar von den übrigen entdeckten Trojanern, die Funktionalität ist jedoch im Wesentlichen identisch: Er kann Dateioperationen durchführen, Systeminformationen und die Liste der ausgeführten Programme abrufen, Profile von häufig verwendeten Browsern löschen, eine potenziell bösartige Datei herunterladen und ausführen usw. Wir vermuten, dass es sich hierbei um eine benutzerdefinierte Version handelt, die von der Gh0st-Implementierung inspiriert sein könnte.
Prävention und Deinstallation
Android
Installieren Sie Apps nur aus vertrauenswürdigen und zuverlässigen Quellen wie dem Google Play Store.
Wenn Sie Kryptowährungs-Wallet-Adressen über die Android-Telegram-App teilen, überprüfen Sie, ob die gesendete Adresse mit der Adresse übereinstimmt, die nach dem Neustart der Anwendung angezeigt wird. Wenn nicht, warnen Sie den Empfänger, die Adresse nicht zu verwenden, und versuchen Sie, die Nachricht zu entfernen. Leider kann diese Technik nicht auf die trojanisierten WhatsApp für Android angewendet werden.
Beachten Sie, dass der vorherige Tipp im Falle eines trojanisierten Telegramms nicht gilt, da der Empfänger der Wallet-Adresse nur die Wallet des Angreifers sieht und nicht erkennen kann, ob die Adresse echt ist.
Speichern Sie keine unverschlüsselten Bilder oder Screenshots mit sensiblen Informationen, wie z. B. mnemonische Phrasen, Passwörter und private Schlüssel, auf Ihrem Gerät.
Wenn Sie glauben, dass Sie eine trojanisierte Version von Telegram oder WhatsApp haben, entfernen Sie diese manuell von Ihrem Gerät und laden Sie die App entweder von Google Play oder direkt von der legitimen Website herunter, sofern möglich.
Windows
Falls Sie sich nicht sicher sind, ob Ihr Telegram-Installationsprogramm legitim ist, überprüfen Sie, ob die digitale Signatur der Datei gültig ist und auf "Telegram FZ-LLC" ausgestellt wurde.
Wenn Sie den Verdacht haben, dass Ihre Telegram-App bösartig ist, raten wir Ihnen, eine Sicherheitslösung zu verwenden, um die Bedrohung zu erkennen und sie für Sie zu entfernen. Wenn Sie eine solche Software nicht besitzen oder eine zweite Meinung einholen wollen, können Sie den kostenlosen ESET Online Scanner verwenden.
Die einzige offizielle Version von WhatsApp für Windows ist derzeit im Microsoft Store erhältlich. Wenn Sie die Anwendung aus einer anderen Quelle installiert haben, raten wir Ihnen, sie zu löschen und dann Ihr Gerät zu scannen.
Fazit
Bei unserer Untersuchung von trojanisierten Telegram- und WhatsApp-Apps, die über Nachahmer-Websites verbreitet werden, entdeckten wir die ersten Fälle von Android-Clippern, die Sofortnachrichten abfangen und die Kryptowährungs-Wallet-Adressen der Opfer gegen die Adresse des Angreifers austauschen. Darüber hinaus missbrauchten einige der Clipper OCR, um mnemonische Phrasen aus den auf den Geräten der Opfer gespeicherten Bildern zu extrahieren - eine bösartige Nutzung der Bildschirmlesetechnologie, die wir so zum ersten Mal gesehen haben.
Wir fanden auch Windows-Versionen der Wallet-Switching-Clipper sowie Telegram- und WhatsApp-Installationsprogramme für Windows, die mit Remote-Access-Trojanern gebündelt waren. Durch ihre verschiedenen Module ermöglichen die RATs den Angreifern die Kontrolle über die Rechner der Opfer.
IoCs
Files
| SHA-1 | Package Name | Detection | Description |
|---|---|---|---|
| C3ED82A01C91303C0BEC36016D817E21615EAA07 | org.telegram.messenger | Android/Clipper.I | Trojanized version of Telegram for Android in Cluster 4. |
| 8336BF07683F40B38840865C60DB1D08F1D1789D | org.telegram.messenger | Android/Clipper.I | Trojanized version of Telegram for Android in Cluster 4. |
| E67065423DA58C0025E411E8E56E0FD6BE049474 | org.tgplus.messenger | Android/Clipper.J | Trojanized version of Telegram for Android in Cluster 1. |
| 014F1E43700AB91C8C5983309751D952101B8ACA | org.telegram.messenger | Android/Clipper.K | Trojanized version of Telegram for Android in Cluster 2 and Cluster 3. |
| 259FE1A121BA173B2795901C426922E32623EFDA | org.telegram.messenger.web2 | Android/Clipper.L | Trojanized version of Telegram for Android in Cluster 2. |
| 0A79B29FC0B04D3C678E9B95BFF72A9558A632AC | org.telegram.messenger | Android/Clipper.M | Trojanized version of Telegram for Android in Cluster 1. |
| D44973C623E680EE0A4E696C99D1AB8430D2A407 | org.telegram.messenger | Android/Clipper.N | Trojanized version of Telegram for Android in Cluster 1. |
| 88F34441290175E3AE2FE0491BFC206899DD158B | org.telegram.messenger | Android/Clipper.O | Trojanized version of Telegram for Android in Cluster 4. |
| 0936D24FC10DB2518973C17493B6523CCF8FCE94 | io.busniess.va.WhatsApp | Android/Clipper.V | |
| 8E98438103C855C3E7723140767749DEAF8CA263 | com.whatsapp | Android/Clipper.V | Trojanized version of WhatsApp for Android in Cluster 1. |
| 5243AD8BBFBC4327B8C4A6FD64401912F46886FF | com.whatsapp | Android/Clipper.V | Trojanized version of WhatsApp for Android in Cluster 1. |
| SHA-1 | Filename | Detection | Description |
|---|---|---|---|
| 646A70E4F7F4502643CDB9AA241ACC89C6D6F1C0 | Telegram.exe | Win32/Agent.AEWM | Trojanized version of Windows Telegram in the first cluster. |
| 858A5B578A0D8A0D511E502DE16EC2547E23B375 | Telegram.exe | Win64/PSW.Agent.CS | Trojanized version of Windows Telegram in the first cluster. |
| 88AAC1C8AB43CD540E0677BAA1A023FDA88B70C4 | Telegram.exe | Win64/PSW.Agent.CT | Trojanized version of Windows Telegram in the first cluster. |
| F3D2CCB4E7049010B18A3300ABDEB06CF3B75FFA | Telegram.exe | Win64/PSW.Agent.CT | Trojanized version of Windows Telegram in the first cluster. |
| A5EB91733FD5CDC8386481EA9856C20C71254713 | 1.exe | Win32/TrojanDownloader.Agent.GLD | Malicious downloader from trojanized Telegram in the second Windows cluster. |
| 34FA6E6B09E08E84D3C544F9039CB14624080A19 | libcef.dll | Win32/Kryptik.HMVR | Malicious DLL from trojanized Telegram in the second Windows cluster. |
| 5E4021AE96D4B28DD27382E3520E8333288D7095 | 1.txt | Win32/Farfli.BUR | Gh0st RAT variant in the second Windows cluster. |
| 14728633636912FB91AE00342D7C6D7050414D85 | BASICNETUTILS.dll | Win32/Agent.AEMT | Malicious DLL from trojanized Telegram in the second Windows cluster. |
| B09E560001621AD79BE31A8822CA72F3BAC46F64 | BASICNETUTILS.dll | Win32/Agent.AEMT | Malicious DLL from trojanized Telegram in the second Windows cluster. |
| 70B8B5A0BFBDBBFA6BA6C86258C593AD21A89829 | templateX.TXT | Win32/Farfli.CUO | Gh0st RAT variant in the second Windows cluster. |
| A51A0BCCE028966C4FCBB1581303980CF10669E0 | templateX.TXT | Win32/Farfli.CUO | Gh0st RAT variant in the second Windows cluster. |
| A2883F344831494C605598B4D8C69B23A896B71A | collec.exe | Win64/GenKryptik.FZHX | Malicious downloader from trojanized Windows Telegram in the second cluster. |
| F8005F22F6E8EE31953A80936032D9E0C413FD22 | ZM.log | Win32/Farfli.DBP | RAT that uses HP-Socket library for communication with C&C in the second Windows cluster. |
| D2D2B0EE45F0540B906DE25B1269D257578A25BD | DuiLib.dll | Win32/Agent.AEXA | Malicious DLL from trojanized Windows Telegram in the second cluster. |
| 564F7A88CD5E1FF8C318796127A3DA30BDDE2AD6 | Telegram.msi | Win32/TrojanDownloader.Agent.GLD | Trojanized version of Windows Telegram installer in the second cluster . |
| C5ED56584F224E7924711EF47B39505D4D1C98D2 | TG_ZH.exe | Win32/Farfli.CUO | Trojanized version of Windows Telegram installer in the second cluster. |
| 2DCDAAAEF094D60BC0910F816CBD42F3C76EBEE9 | TG_CN.exe | Win32/Farfli.CUO | Trojanized version of Windows Telegram installer in the second cluster. |
| 31878B6FC6F96703AC27EBC8E786E01F5AEA5819 | telegram.exe | Win64/PSW.Agent.CS | Trojanized version of Windows Telegram installer in the first cluster. |
| 58F7E6E972774290DF613553FA2120871436B9AA | 飞机中文版X64.zip (machine translation: Aircraft Chinese Version) | Win64/GenKryptik.FZHX trojan | Archive containing trojanized version of Windows Telegram installer in the second cluster. |
| CE9CBB3641036E7053C494E2021006563D13E1A6 | Telegram.7z | Win32/Agent.AEWM trojan | Archive containing portable version of trojanized Windows Telegram executable in the second cluster. |
| 7916BF7FF4FA9901A0C6030CC28933A143C2285F | WhatsApp.exe | Agent.AEUO | Trojanized version of Windows WhatsApp installer in the first Windows cluster. |
| B26EC31C9E8D2CC84DF8B771F336F64A12DBD484 | webview_support.dll | Agent.AEUO | Malicious DLL from trojanized WhatsApp in the second Windows cluster. |
| 366D12F749B829B436474C9040E8102CEC2AACB4 | upgrade.xml | Win32/Farfli.DCC | Encrypted malicious payload in the second Windows cluster. |
| A565875EDF33016D8A231682CC4C19FCC43A9A0E | CSLoader.dll | Win32/Farfli.DCC | Shellcode injector in the second Windows cluster. |
| CFD900B77494574A01EA8270194F00E573E80F94 | 1.dll | Win32/Farfli.BLH | Gh0st RAT variant in the second Windows cluster. |
| 18DE3283402FE09D2FF6771D85B9DB6FE2B9D05E | telegram.exe | Win64/PSW.Agent.CT | Trojanized version of Windows Telegram installer in the first cluster. |
Network
| Domain/IP | First seen | Details |
|---|---|---|
| tevegram[.]com | 2022-07-25 | Distribution website. |
| telegram[.]land | 2021-09-01 | Distribution website. |
| x-telegram[.]app | 2022-04-24 | Distribution website. |
| hao-telegram[.]com | 2022-03-12 | Distribution website. |
| telegram[.]farm | 2021-03-22 | Distribution website. |
| t-telegrm[.]com | 2022-08-29 | Distribution website. |
| telegrmam[.]org | 2022-08-23 | Distribution website. |
| telegramnm[.]org | 2022-08-22 | Distribution website. |
| telegrms[.]com | 2021-12-01 | Distribution website. |
| telegrrom[.]com | 2022-09-09 | Distribution website. |
| telegramxs[.]com | 2022-07-27 | Distribution website. |
| telegcn[.]com | 2022-11-04 | Distribution website. |
| telegram[.]gs | 2022-09-15 | Distribution website. |
| telegram-c[.]com | 2022-08-11 | Distribution website. |
| whotsapp[.]net | 2022-10-15 | Distribution website. |
| telegron[.]org | 2022-08-10 | Distribution and C&C website. |
| telezzh[.]com | 2022-09-09 | Distribution and C&C website. |
| telegramzn[.]com | 2022-08-22 | Distribution and C&C website. |
| token.jdy[.]me | 2021-10-29 | C&C server. |
| telegrom[.]org | 2020-01-02 | C&C server. |
| coinfacai[.]com | 2022-06-17 | C&C server. |
| upload.buchananapp[.]com | 2022-07-18 | C&C server. |
| 137.220.141[.]13 | 2021-08-15 | C&C server. |
| api.oktask88[.]com | 2022-05-09 | C&C server. |
| jk.cqbblmy[.]com | 2022-11-09 | C&C server. |
| 103.212.230[.]41 | 2020-07-04 | C&C server. |
| j.pic6005588[.]com | 2022-08-31 | C&C server. |
| b.pic447[.]com | 2022-08-06 | C&C server. |
| 180.215.88[.]227 | 2020-03-18 | C&C server. |
| 104.233.144[.]130 | 2021-01-13 | C&C server. |
| department.microsoftmiddlename[.]tk | 2022-08-06 | Malicious payload distribution website. |
Attacker wallets
| Coin | Wallet address |
|---|---|
| Bitcoin | 36uqLsndC2kRJ9xy6PiuAxK3dYmqXw8G93 |
| Bitcoin | 3GekkwGi9oCizBAk6Mki2ChdmTD4LRHKAB |
| Bitcoin | 35b4KU2NBPVGd8nwB8esTmishqdU2PPUrP |
| Bitcoin | 3QtB81hG69yaiHkBCTfPKeZkR8i2yWe8bm |
| Bitcoin | 396naR218NHqPGXGbgKzKcXuJD3KDmeLsR |
| Bitcoin | 3K1f9uyae9Fox44kZ7AAZ8eJU98jsya86X |
| Bitcoin | 1Jp8WCP5hWrvnhgf3uDxn8bHXSqt48XJ5Z |
| Bitcoin | 32xFkwSa2U3hE9W3yimShS3dANAbZxxh8w |
| Bitcoin | bc1q0syn34f2q4nuwwunaymzhmfcs28j6tm2cq55fw |
| Bitcoin | bc1qvtj4z66nv85atkgs4a5veg30dc0jf6p707juns |
| Ethereum | 0xc4C47A527FE03E92DCe9578E4578cF4d4605b1E1 |
| Ethereum | 0x2097831677A4838A63b4E4E840D1b2Be749FC1ab |
| Ethereum | 0x8aE1B343717BD7ba43F0bB2407d5253F9604a481 |
| Ethereum | 0x276a84565dcF98b615ff2FB12c42b1E9Caaf7685 |
| Ethereum | 0x31bdE5A8Bf959CD0f1d4006c15eE48055ece3A5c |
| Ethereum | 0xf7A84aa7F4a70262DFB4384fb9D419c14BC1DD9D |
| Ethereum | 0x0EF13Db9Cb63Fb81c58Fb137034dA85DFE6BE020 |
| Ethereum | 0x24a308B82227B09529132CA3d40C92756f0859EE |
| Ethereum | 0xe99A0a26184392635C5bf1B3C03D68360DE3b1Aa |
| Ethereum | 0x59e93c43532BFA239a616c85C59152717273F528 |
| Ethereum | 0xF90acFBe580F58f912F557B444bA1bf77053fc03 |
| Tron | TX1rZTNB5CdouYpNDRXKBS1XvxVdZ3HrWI |
| Tron | TQA7ggPFKo2C22qspbmANCXKzonuXShuaa |
| Tron | TTqBt5gUPjEPrPgzmKxskCeyxGWU377YZ8 |
| Tron | TQXz8w94zVJxQy3pAaVsAo6nQRpj5chmuG |
| Tron | TN1JVt3ix5qwWyNvJy38nspqoJXB2hVjwm |
| Tron | TGFXvyTMTAzWZBKqLJUW4esEPb5q8vu2mC |
| Tron | TCo4xVY5m7jN2JhMSgVzvf7mKSon92cYxi |
| Tron | TYoYxTFbSB93v4fhUSDUVXpniB3Jz7z9WA |
| Tron | TSeCVpujFahFS31vBWULwdoJY6DqAaq1Yf |
| Tron | TMCqjsKrEMMogeLGPpb9sdMiNZNbQXG8yA |
| Tron | TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB |
| Tron | TTsWNLiWkYkUXK1bUmpGrNFNuS17cSvwWK |
| Binance | bnb1fp4s2w96genwknt548aecag07mucw95a4z4ly0 |
MITRE ATT&CK techniques
This table was built using version 12 of the MITRE ATT&CK mobile techniques.
| Tactic | ID | Name | Description |
|---|---|---|---|
| Discovery | T1418 | Software Discovery | Android Clipper can obtain a list of installed applications. |
| Collection | T1409 | Stored Application Data | Android Clipper extracts files from internal storage of the Telegram app. |
| Command and Control | T1437.001 | Application Layer Protocol: Web Protocols | Android Clipper uses HTTP and HTTPS to communicate with its C&C server. |
| Exfiltration | T1646 | Exfiltration Over C2 Channel | Android Clipper exfiltrates stolen data over its C&C channel. |
| Impact | T1641.001 | Data Manipulation: Transmitted Data Manipulation | Android Clipper exchanges cryptocurrency wallets in Telegram communication. |
This table was built using version 12 of the MITRE ATT&CK enterprise techniques.
| Tactic | ID | Name | Description |
|---|---|---|---|
| Execution | T1106 | Native API | Trojanized Windows Telegram uses Windows API function ShellExecuteExA to execute shell commands received from its C&C. |
| Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Trojanized Windows Telegram copies itself to the Startup directory for persistence. |
| Privilege Escalation | T1134 | Access Token Manipulation | Trojanized Windows Telegram adjusts token privileges to enable SeDebugPrivilege. |
| Defense Evasion | T1070.001 | Indicator Removal: Clear Windows Event Logs | Trojanized Windows Telegram is capable of deleting event logs. |
| T1140 | Deobfuscate/Decode Files or Information | Trojanized Windows Telegram decrypts and loads the RAT DLL into memory. | |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | Trojanized Windows Telegram uses legitimate applications to perform DLL side-loading. | |
| T1622 | Debugger Evasion | Trojanized Windows Telegram checks the BeingDebugged flag of PEB to detect whether a debugger is present. | |
| T1497 | Virtualization/Sandbox Evasion | Trojanized Windows Telegram identifies execution in virtual machine via WQL. | |
| Credential Access | T1056.001 | Input Capture: Keylogging | Trojanized Windows Telegram has a keylogger. |
| Discovery | T1010 | Application Window Discovery | Trojanized Windows Telegram is able to discover application windows using EnumWindows. |
| T1012 | Query Registry | Trojanized Windows Telegram can enumerate registry keys. | |
| T1057 | Process Discovery | Trojanized Windows Telegram can list running processes on the system. | |
| T1082 | System Information Discovery | Trojanized Windows Telegram gathers system architecture, processor, OS configuration, and hardware information. | |
| Collection | T1113 | Screen Capture | Trojanized Windows Telegram captures victim’s screen. |
| T1115 | Clipboard Data | Trojanized Windows Telegram steals clipboard data from the victim. | |
| Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | Trojanized Windows Telegram uses HTTPS to communicate with its C&C server. |
| T1095 | Non-Application Layer Protocol | Trojanized Windows Telegram uses encrypted TCP protocol to communicate with the C&C. | |
| T1105 | Ingress Tool Transfer | Trojanized Windows Telegram can download additional files. | |
| T1573 | Encrypted Channel | Trojanized Windows Telegram encrypts TCP communications. | |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | Trojanized Windows Telegram sends victim data to its C&C server. |
| Impact | T1529 | System Shutdown/Reboot | Trojanized Windows Telegram can reboot or shutdown the victim’s machine. |
| T1565.002 | Data Manipulation: Transmitted Data Manipulation | Trojanized Windows Telegram swaps cryptocurrency wallets in Telegram communication. | |
| T1531 | Account Access Removal | Trojanized Windows Telegram removes profiles of commonly used browsers to force victims to log into their web accounts. |
