Истраживачи ЕСЕТ-а су идентификовали тројанизоване верзије апликација ВхатсАпп и Телеграм, као и десетине веб локација које копирају те апликације за размену тренутних порука које су посебно циљане на кориснике Андроид-а и Виндовс-а. Већина откривеног малвера је клипер, врста малвера који краде или мења садржај међуспремника. Сав дотични софтвер покушава да украде криптовалуте жртава, док неки циљају новчанике криптовалута. По први пут, ЕСЕТ Ресеарцх је открио софтвер за клипер заснован на Андроиду који посебно циља апликације за размену тренутних порука. Такође, неке од ових апликација користе оптичку идентификацију знакова (ОЦР) за издвајање текста из снимака екрана сачуваних на компромитованим уређајима. Ово је још један први за малвер заснован на Андроиду.
„Преваранти покушавају да заплене новчанике криптовалута путем апликација за размену тренутних порука“
Када је испитан језик који се користи у апликацијама за имитацију, откривено је да људи који користе овај софтвер посебно циљају на кориснике који говоре кинески. Пошто су и Телеграм и ВхатсАпп забрањени у Кини од 2015. и 2017. године, људи који су желели да користе ове апликације морали су да прибегну индиректним средствима. У питању су актери претњи пре свега лажни. YouTube Он је поставио Гоогле Адс, који преусмерава кориснике на њихове канале, а затим преусмерава кориснике да копирају веб локације Телеграм и ВхатсАпп. ЕСЕТ Ресеарцх не уклања ове лажне огласе и сродне YouTube пријавио своје канале Гуглу, а Гугл је одмах прекинуо коришћење свих ових реклама и канала.
Истраживач ЕСЕТ-а Лукаш Штефанко, који је открио апликације прерушене у тројанцима, рекао је:
„Главна сврха софтвера за клипер који смо открили је да ухвати поруке жртве и замени послате и примљене адресе новчаника за криптовалуте са адресама нападача. Поред апликација ВхатсАпп и Телеграм са Андроид-ом који су прикривени у тројанцима, открили смо и верзије истих апликација за Виндовс сакривене у тројанцима.
Тројанске верзије ових апликација имају различите функције, иако служе истој сврси. Прегледани софтвер за клипер заснован на Андроиду је први малвер заснован на Андроиду који користи ОЦР за читање текста са снимака екрана и фотографија сачуваних на уређају жртве. ОЦР се користи за проналажење и репродукцију кључне фразе. Кључна фраза је мнемонички код, скуп речи који се користе за опоравак новчаника криптовалута. Чим злонамерни актери дођу до кључне фразе, могу директно да украду све криптовалуте у одговарајућем новчанику.
Злонамерни софтвер нападачу шаље адресу новчаника криптовалуте жртве. sohbet замењује га адресом. То ради са адресама или директно у програму или динамички добијеним од нападачевог сервера. Поред тога, софтвер прати Телеграм поруке како би открио одређене кључне речи које се односе на криптовалуте. Чим софтвер открије такву кључну реч, целу поруку прослеђује серверу нападача.
ЕСЕТ Ресеарцх је открио Виндовс-базиране програме за инсталацију Телеграма и ВхатсАпп-а који садрже тројанске програме за даљински приступ (РАТ), као и Виндовс верзије овог софтвера за шишање адресе новчаника. На основу модела апликације, откривено је да један од злонамерних пакета заснованих на Виндовс-у није софтвер за клипер, већ РАТ-ови који могу преузети потпуну контролу над системом жртве. Дакле, ови РАТ-ови могу украсти новчанике криптовалута без пресретања тока апликације.
Лукас Стефанко је у вези са тим дао следеће савете:
„Инсталирајте апликације само из поузданих и поузданих извора, као што је Гоогле Плаи продавница, и не чувајте нешифроване слике или снимке екрана на свом уређају који садрже важне информације. Ако мислите да на свом уређају имате Телеграм или ВхатсАпп апликацију прикривену тројанцем, ручно деинсталирајте ове апликације са свог уређаја и преузмите апликацију са Гоогле Плаи-а или директно са легитимне веб локације. Ако сумњате да имате злонамерну апликацију Телеграм на свом Виндовс уређају, користите безбедносно решење које открива и уклања претњу. Једина званична верзија ВхатсАпп-а за Виндовс тренутно је доступна у Мицрософт продавници.”