A campanha foi iniciada através de Google Ads que conduziam para canais de YouTube fraudulentos. Por sua vez, esses canais de YouTube encaminhavam os utilizadores para os websites falsos de Telegram e WhatsApp. A ESET reportou de imediato os anúncios fraudulentos e canais de YouTube relacionados à Google, que os encerrou prontamente.
Funcionalidades das apps falsas
A função de reconhecimento de texto em imagens armazenadas nos dispositivos das vítimas (também conhecido por “optical character recognition” – OCR) está implementada nestas aplicações falsas de WhatsApp e Telegram para procurar e encontrar uma frase seed – um código mnemónico constituído por séries de palavras usadas para recuperar carteiras de criptomoeda. Ao obterem essa frase seed, os agentes maliciosos podem facilmente roubar a criptomoeda diretamente da carteira associada.
“O principal objetivo dos clippers que descobrimos é intercetar as comunicações de mensagens da vítima e substituir quaisquer endereços de carteiras de criptomoeda enviadas e recebidas por endereços pertencentes aos cibercriminosos. Para além das apps WhatsApp e Telegram Android falsas, também encontrámos versões Windows falsas das mesmas aplicações”, comentou a propósito o investigador da ESET Lukáš Štefanko.
