ESET研究发现了第一个嵌入即时消息应用程序的剪贴板劫持木马。

这家网络安全研究公司表示，攻击者正在使用木马Telegram和Android和Windows的WhatsApp应用程序来跟踪受害者的加密资金。

这种恶意软件可以将受害者在聊天消息中发送的加密货币钱包地址切换到属于攻击者的地址。一些攻击者使用OCR识别(图像文本识别)从截图中提取文本，并窃取加密货币钱包助记符。除了剪刀，

ESET还发现远程访问木马与恶意Windows版本的WhatsApp和Telegram捆绑在一起。

快船木马(剪贴板劫持木马)是一种恶意软件，窃取或修改剪贴板的内容。这些都是受害者的加密货币资金，还有一部分是加密货币钱包。

这是ESET Research首次发现专门针对即时通讯的Android剪贴板劫持木马。此外，其中一些应用程序使用光学字符识别(OCR)来识别存储在受感染设备上的屏幕截图中的文本。

这是安卓恶意软件中的第一个。

从恶意应用使用的编程语言来看，背后的运营商似乎主要针对中国用户。因为Telegram和WhatsApp在中国都被屏蔽了好几年，Telegram从2015年就被屏蔽了。

WhatsApp从2017年开始被屏蔽，所以想要使用这些服务的人不得不间接获得。

攻击者首先设置谷歌广告来引导欺诈性的YouTube频道，然后将观众重定向到虚假的Telegram和WhatsApp网站。

ESET Research向谷歌举报了欺诈广告和相关的YouTube频道，谷歌已经将其全部关闭。

“我们发现的山寨电报主要是拦截受害者的通信，用属于攻击者的地址替换任何发送和接收的加密货币钱包地址。”发现木马的ESET研究员Luk tefanko说。

“除了木马WhatsApp和Telegram Android应用程序，我们还发现了木马Windows版本的相同应用程序。”他说。

尽管它们服务于相同的一般目的，但这些应用程序的特洛伊木马版本包含各种附加功能。

被分析的Android恶意软件成为第一个使用OCR从受害者设备上存储的截图和照片中读取文本的Android恶意软件。

OCR被部署来查找和窃取种子短语，种子短语是由一系列用于恢复加密货币钱包的单词组成的助记符。一旦恶意行为者掌握了助记符，就可以直接从相关钱包中盗取所有加密的钱。

又如，恶意软件只是在聊天通信中将受害者的加密货币钱包地址切换到攻击者的地址，该地址要么是硬编码的，要么是从攻击者的服务器中动态检索的。在另一个例子中，

该恶意软件在电报通信中监控一些与加密货币相关的关键词。一旦识别出这样的关键字，恶意软件就会向攻击者的服务器发送完整的消息。

ESET研究还发现了Windows版钱包地址剪贴板劫持程序，以及Windows版Telegram和WhatsApp安装程序捆绑远程访问木马(RAT)。

与既定模型不同的是，其中一个与Windows相关的恶意软件捆绑包由RAT(远程访问特洛伊木马)组成，可以完全控制受害者的系统。这样，RAT可以在不拦截应用流的情况下窃取加密货币钱包。

“只安装来自可信和可靠来源的应用程序，如谷歌Play商店，并且不要在您的设备上存储包含敏感信息的未加密图片或截图。如果你认为你有Telegram或WhatsApp的木马版本，

请手动将其从你的设备中删除，然后从Google Play 或直接从合法网站下载应用程序。”tefanko 建议。

“对于Windows，如果你怀疑你的Telegram 应用程序是恶意的，请使用安全解决方案来检测威胁并为你将其删除。Windows 版WhatsApp 的唯一官方版本目前可在微软商店购买。”