La empresa de ciberseguridad ESET descubrió docenas de sitios web que se hacían pasar
por Telegram y WhatsApp apuntando principalmente a usuarios de Android y Windows
con versiones troyanizadas de estas aplicaciones de mensajería instantánea.
La mayoría de las aplicaciones maliciosas identificadas son clippers, un tipo de malware
que roba o modifica el contenido almacenado en el portapapeles (en inglés clipboard).
Todos estos clippers buscan robar los fondos de las víctimas, y varios apuntan a las
billeteras de criptomonedas.
Esta es la primera vez que desde ESET se observa el uso de clippers para Android
disfrazados como apps de mensajería instantánea. Además, algunas de estas aplicaciones
utilizan el reconocimiento óptico de caracteres (OCR) para reconocer el texto de las
capturas de pantalla almacenadas en los dispositivos comprometidos, otra novedad para el
malware de Android.
“No solo se identificaron los primeros clippers en apps de mensajería instantánea, sino que
se descubrió varios grupos de ellos. El propósito principal de los clippers descubiertos es
interceptar las comunicaciones en las apps de mensajería que utiliza la víctima y reemplazar
cualquier dirección de billetera de criptomonedas enviada y recibida con direcciones que
pertenecen a los atacantes. Además de las versiones troyanizadas de las aplicaciones de
WhatsApp y Telegram para Android, también se encontraron de las mismas apps para
Windows”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de
ESET Latinoamérica.
¿Qué es un clipper y por qué los ciberdelincuentes lo utilizan? Es una pieza de código
malicioso que copia o modifica el contenido en el portapapeles de un sistema. Los clippers
son atractivos para los ciberdelincuentes interesados en robar criptomonedas porque las
direcciones de las billeteras de criptomonedas en línea están compuestas de largas cadenas
de caracteres y, en lugar de escribirlas, los usuarios tienden a copiar y pegar las direcciones
usando el portapapeles.
Un clipper puede aprovechar esto interceptando el contenido del portapapeles y
reemplazando cualquier dirección de billetera de criptomonedas copiada con una a la que
los atacantes tienen bajo su control.
Según ESET, los operadores detrás de estas amenazas primero configuraron anuncios de
Google que conducen a canales de YouTube fraudulentos, que luego redirigen a los
desafortunados espectadores a imitar los sitios web de Telegram y WhatsApp. Además de
eso, un grupo en particular de Telegram también anunció una versión maliciosa de la
aplicación que afirmaba tener un servicio proxy gratuito fuera de China. Cuando ESET
descubrió estos anuncios fraudulentos y los canales de YouTube relacionados, los informó a
Google, que los cerró todos de inmediato.
En cuanto a la distribución, según el idioma utilizado en las aplicaciones que se presentan
como copias, parece que los operadores detrás de ellas se dirigen principalmente a usuarios
de habla china. Debido a que tanto Telegram como WhatsApp están bloqueados en China
desde hace varios años, con Telegram bloqueado desde 2015 y WhatsApp desde 2017, las
personas que desean utilizar estos servicios tienen que recurrir a medios alternativos para
obtenerlos.
“A primera vista, puede parecer compleja la forma en que se distribuyen estas aplicaciones
que se hacen pasar por legítimas. Sin embargo, es posible que con Telegram, WhatsApp y la aplicación Google Play bloqueadas en China, los usuarios de Android estén
acostumbrados a pasar por varios obstáculos si quieren obtener aplicaciones que no están
disponibles oficialmente. Los ciberdelincuentes son conscientes de esto y tratan de atrapar a
sus víctimas desde el primer momento, cuando la víctima busca en Google una aplicación
de WhatsApp o Telegram para descargar.”, agrega Gutiérrez Amaya de ESET.
Los atacantes compraron Google Ads que redirigen a YouTube, lo que ayuda a los
atacantes a llegar a la parte superior de los resultados de búsqueda y también evita que los
sitios web falsos que utilizan sean marcados como estafas, ya que los anuncios se vinculan
a un servicio legítimo que Google Ads presumiblemente lo considera confiable.
Los enlaces a los sitios web copia generalmente se pueden encontrar en la sección “Acerca
de” de los canales de YouTube. Un ejemplo de tal descripción se puede ver en una
traducción muy aproximada en la Figura 4.
Durante la investigación, ESET encontró cientos de canales de YouTube que apuntan a
docenas de sitios web falsos de Telegram y WhatsApp. Estos sitios se hacen pasar por
servicios legítimos y ofrecen versiones de escritorio y móviles de la aplicación para
descargar. Ninguna de las aplicaciones analizadas estaba disponible en la tienda Google
Play.
El objetivo principal de las aplicaciones para Android troyanizadas es interceptar los
mensajes de chat de las víctimas y cambiar cualquier dirección de billetera de
criptomonedas por otras pertenecientes a los atacantes, o filtrar información confidencial
que permitiría a los atacantes robar los fondos de criptomonedas de las víctimas. Esta es la
primera vez que ESET identifica clippers que apuntan específicamente a apps de mensajería
instantánea.
Desde ESET observaron que al reemplazar las direcciones de las billeteras las aplicaciones
troyanizadas para Telegram se comportan de manera diferente a las de WhatsApp. Una
víctima que use la versión maliciosa de la aplicación de Telegram seguirá viendo la
dirección original hasta que se reinicie la aplicación, después de lo cual la dirección
mostrada será la que pertenece al atacante. Por el contrario, la propia dirección de la víctima
se verá en los mensajes enviados si utiliza una versión troyanizada de WhatsApp, mientras
que el destinatario del mensaje recibirá la dirección del atacante.