С июня 2024 года в вирусную лабораторию «Доктор Веб» начали поступать сообщения от наших клиентов, которые установили антивирус Dr.Web Security Space на свежеприобретенные телефоны с ОС Android. При сканировании системного раздела прошивки было выявлено подозрительное приложение, замаскированное под мессенджер WhatsApp (принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ). В ходе исследования, проведенного нашими аналитиками, было установлено, что эти случаи — не единичные: они свидетельствуют о мошеннической цепочке в рамках кампании по краже криптовалют методом клиппинга.
Клиппинг — это кража информации путем перехвата и/или подмены данных, которые пользователь копирует в буфер обмена. Наиболее часто клипперы нацелены на поиск в буфере обмена последовательностей символов, соответствующих адресам криптокошельков. В среднем такие строки содержат от 25 до 42 символов. Для удобства работы с такими данными пользователи обычно используют стандартные операции «копировать» и «вставить». Клиппер может воспользоваться этим, перехватив содержимое буфера обмена и незаметно подменив все адреса криптовалютных кошельков на те, которые принадлежат киберпреступникам.
Мошеннические приложения были обнаружены непосредственно в составе предустановленного на телефоне ПО: вредоносный код был добавлен к мессенджеру WhatsApp.
Отметим, что в большинстве случаев скомпрометированные устройства были представлены в нижнем ценовом диапазоне и имели названия, созвучные с моделями известных брендов: S23 Ultra, Note 13 Pro, P70 Ultra и так далее. При этом их технические характеристики были далеки от заявленных. Дело в том, что в состав прошивки входило скрытое приложение, позволяющее с легкостью изменить всю отображаемую техническую информацию об устройстве не только в системном меню, но и в отчетах таких популярных приложений, как AIDA64 и CPU-Z. Кроме того, несмотря на то, что в разделе «Об устройстве» было заявлено об установленной последней версии Android 14, на самом деле все устройства работали под управлением одного и того же билда Android 12. Треть указанных ниже моделей выпускается под брендом SHOWJI. Производителей остальных моделей нам идентифицировать не удалось.
| SHOWJI S19 Pro | Note 30i | Camon 20 |
| SHOWJI Note 13 Pro | S23 Ultra | P70 Ultra |
| SHOWJI X100S Pro | S18 Pro | M14 Ultra |
| SHOWJI Reno12 Pro | 6 Pro | S24 Ultra |
Троянизированное приложение WhatsApp было создано с помощью инструмента LSPatch. Этот фреймворк позволяет изменять поведение основного приложения, не вмешиваясь в его код, а загружать для этого дополнительные программные модули. В данном случае мошенники разместили в папке assets вредоносный модуль com.whatsHook.apk, выполняющий следующие функции.
Следует отметить, что данная кампания является очень масштабной. Аналогичным образом мошенники модифицировали порядка 40 приложений. Среди них — уже упомянутые нами WhatsApp и Telegram, а также другие мессенджеры, сканеры QR-кодов и т. д. Но в основном вмешательству подверглись популярные приложения криптокошельков (Mathwallet, Trust Wallet и другие). Всего было обнаружено более 60 С2-серверов, а для распространения вредоносных приложений задействованы порядка 30 доменов. Также нам удалось получить некоторые сведения о финансовых успехах троянописателей. На одном из отслеживаемых нами кошельков были замечены поступления за два года в размере более миллиона долларов. На другом нашлось ещё полмиллиона. Остальные кошельки (примерно 20 штук) хранили суммы до 100 тысяч долларов. Полную картину о доходности этой кампании получить невозможно, так как адреса кошельков получаются с сервера злоумышленников и каждый раз могут быть разными.