La gente de ESET mediante estudios, descubrió docenas de sitios web que se hacían pasar por Telegram y WhatsApp apuntando especialmente a usuarios de Android , así como también, de Windows con versiones que incluyen troyanos en las aplicacionesque incluyen troyanos en las aplicaciones.
Algo que hay que dejar claro es que la mayor parte de las Apps maliciosas que se detectaron son clippers, los cuales, se tratan de un tipo de malware que roba o modifica el contenido recopilado en el portapapeles.
Los clippers (clipboard) son aquellos que buscan robar los fondos de las víctimas, y varios señalan a las billeteras de criptomonedas. Este método es bastante atractivo para los ciberdelincuentes porque las direcciones de las billeteras de criptomonedas en línea están compuestas de largas cadenas de caracteres, por lo que en vez de escribirlas, la gran mayoría de los usuarios se acostumbran a copiar y pegar las direcciones usando el portapapeles.
Dichos clippers aprovechan esto para poder interceptar el contenido del portapapeles y reemplazar cualquier dirección de billetera de criptomonedas copiada, por una a la que los ciberatacantes tienen bajo su control.
Ahora bien, según la compañía, estas versiones falsas de aplicaciones de mensajerías como lo son WhatsApp y Telegram, son ejecutadas por los ciberatacantes en donde primero configuraron anuncios de Google los cuales los conducen a canales de YouTube fraudulentos, para luego redirigir a los desafortunados espectadores a imitar los sitios web de Telegram y WhatsApp.
Hay que destacar que un grupo de Telegram, dió a conocer que existía una versión maliciosa de la aplicación en donde según se conoce, poseía un servicio proxy gratuito fuera de China, por lo que ESET informó a Google sobre esto, quien procedió a darle cierre a los mismos.
En cuanto a la distribución se refiere, según el idioma utilizado en las aplicaciones (copias) se estima que los operadores detrás de las mismas hablan chino (estas Apps están bloqueadas en china desde hace varios años).
Por otro lado, los atacantes compraron Google Ads que redirigen a YouTube, por lo que esto es bastante provechoso para los actores de amenazas porque evita que los sitios web falsos que utilizan sean marcados como estafas, lo que le hace pensar a los usuarios que son legítimos.
Según estudios de la compañía líder en detección proactiva de amenazas, se descubrieron una gran cantidad de sitios web falsos de Telegram y WhatsApp, ninguna de las aplicaciones analizadas estaba disponible en la tienda Google Play.
Los actores de amenazas sin lugar a dudas, tienen como fin poder interceptar los mensajes de chat de las víctimas para poder cambiar cualquier dirección de billetera de criptomonedas por otras pertenecientes a los atacantes, e incluso también filtrar información confidencial que les permite robar los fondos de criptomonedas de las víctimas.
Prevención y desinstalación de estos clippers en sistemas operativos Android y Windows
Estos son algunos consejos básicos para los usuarios de Android con el fin de evitar ser presa fácil de los clippers:
- Sólo instalar Apps de fuentes confiables como lo es Google Play.
- Si se está compartiendo direcciones de billeteras de criptomonedas a través de la aplicación para Android de Telegram, procure corroborar si la dirección que se envió concuerda con la dirección que se muestra luego de reiniciar la aplicación. Aunque hay que mencionar que esta técnica no se puede aplicar a la versión falsa troyanizada de WhatsApp para sistemas operativos Android.
- Trate de no almacenar en el dispositivo imágenes sin cifrar que contengan información confidencial.
- Si considera que posee en su dispositivo una versión troyanizada de las aplicaciones de Telegram o WhatsApp, será necesario que la elimine de forma manual de su dispositivo.
Consejos para que los usuarios de Windows puedan evitar los clippers:
- Primero que nada, si está seguro que el instalador de Telegram es legítimo, tiene que verificar o corroborar si la firma digital del archivo es válida y se emitió a Telegram FZ-LLC.
- Por otro lado, hay que mencionar que la única versión oficial de WhatsApp para Windows, está disponible en la tienda de Microsoft. Si la App se instaló desde otra fuente, lo más recomendable es que la elimine.
Conociendo todo sobre este tema tan importante, esperamos que logre estar atento ante cualquier peligro potencial y así evitar cualquier tipo de fraude por parte de ciberatacantes.
