Що таке Malware Clipper? Як це впливає на користувачів Android?

8 січня 2019 року користувачі побачили першу версію шкідливого ПЗ Clipper у Google Play Store. Він маскувався під нешкідливий додаток, щоб обманом змусити людей завантажити його, а потім почав перенаправляти криптовалюту власнику шкідливого програмного забезпечення.

Але що таке шкідливе програмне забезпечення Clipper, як воно працює та як можна уникнути атак цього шкідливого програмного забезпечення?

Дізнайтеся про зловмисне програмне забезпечення Clipper

• Що таке шкідливе програмне забезпечення Clipper?
• Як працює Clipper
• Як давно існує Clipper?
• Які програми містять Clipper?
• Збільшення атак на криптовалюту
• Як уникнути атаки Clipper?

Що таке шкідливе програмне забезпечення Clipper?

Clipper орієнтується на адреси гаманців криптовалюти в одній транзакції. Ця адреса гаманця схожа на версію номера банківського рахунку в криптовалюті. Якщо ви хочете, щоб хтось заплатив вам криптовалютою, ви повинні надати йому адресу гаманця, і платник введе її у свої платіжні дані.

Clipper викрадає криптовалютні транзакції, міняючи реальні адреси гаманця з тими, що належать гаманцю творця Clipper. Коли користувачі здійснюють платежі з криптовалютних рахунків, вони платять творцю Clipper, а не початковому одержувачу.

Це може завдати серйозної фінансової шкоди, якщо шкідливому програмному забезпеченню вдасться захопити транзакцію великої вартості.

Як працює Clipper

Clipper виконує цю заміну, відстежуючи буфер обміну (де зберігаються скопійовані дані) пристрою, інфікованого Clipper. Щоразу, коли користувач копіює дані, Clipper перевіряє, чи містить буфер обміну адреси гаманців криптовалюти. Якщо так, Clipper замінить його адресою творця шкідливого ПЗ.

Тепер, коли користувачі вставляють адресу, вони вставляють адресу зловмисника замість законної адреси.

Clipper використовує складну природу адрес гаманців. Це довгі рядки цифр і літер, здавалося б, вибраних навмання. Дуже малоймовірно, що платник зрозуміє, що адреса була замінена, якщо тільки він не використовував адресу гаманця кілька разів.

Що ще гірше, його складність робить користувачів більш схильними копіювати та вставляти адресу, а не вводити її самостійно за допомогою клавіатури. Це саме те, чого хотів Кліппер!

Як давно існує Clipper?

Сам Clipper не є новим. Він з'явився приблизно в 2017 році і в основному був орієнтований на комп'ютери під керуванням Windows. Відтоді Clipper, орієнтований на Android, розроблявся та продавався на чорному ринку. Інфіковані програми можна знайти на підозрілих веб-сайтах.

Такі сайти стали основою для шкідливого програмного забезпечення Gooligan 2016 року, яке заразило понад 1 мільйон пристроїв.

Це перша версія програми в магазині Google Play, офіційно інфікована Clipper. Успішне завантаження зараженої шкідливим програмним забезпеченням програми в офіційний магазин додатків — мрія розповсюджувачів шкідливих програм. Програми, завантажені з магазину Google Play, забезпечують певне відчуття безпеки, що робить їх більш надійними, ніж програми, знайдені на випадкових веб-сайтах.

Це означає, що люди часто завантажують і встановлюють додатки звідси без сумніву, що є саме тим, чого хочуть розробники шкідливих програм.

Які програми містять Clipper?

Clipper знаходиться в додатку під назвою MetaMask. Це послуга, яка фактично дозволяє розповсюджувати програми на основі браузера для криптовалюти Ethereum . MetaMask наразі не має офіційної програми для Android, тому розробники зловмисного програмного забезпечення скористалися цим, щоб змусити людей думати, що офіційна версія випущена.

Ця підроблена програма MetaMask зробила більше, ніж обміняла адреси криптовалюти в буфері обміну. Він також запитував дані облікових записів користувачів Ethereum як частину налаштування підробленого облікового запису. Після того, як користувач введе свої дані, розробник шкідливого програмного забезпечення отримає всю інформацію, необхідну для входу в обліковий запис.

На щастя, охоронна компанія виявила Clipper до того, як він завдав великої шкоди. Підроблений додаток MetaMask було завантажено 1 лютого 2019 року, але трохи більше ніж через тиждень про нього повідомили та видалили його.

Збільшення атак на криптовалюту

Хоча цей тип атаки досить новий, це не надто дивно. Криптовалюта сьогодні є величезним бізнесом, і разом з цим приходить потенціал заробляти величезні суми грошей. Хоча більшість людей задовольняються зароблянням грошей законними засобами, завжди знайдуться ті, хто вирішить незаконно використовувати гроші інших.

Криптовалюти є улюбленою мішенню розробників шкідливих програм у всьому світі. Вони захоплюють процесор пристрою, перетворюючи його на криптовалюту для себе, не виявляючи основного користувача.

Подібно до цього прикладу зловмисного програмного забезпечення Clipper, охоронні компанії виявили зловмисних майнерів криптовалюти, які заражають програми в Google Play Store шкідливим програмним забезпеченням. Таким чином, це може бути лише початком зловмисного програмного забезпечення на основі криптовалюти, яке атакує користувачів телефонів Android.

Як уникнути атаки Clipper?

Це може здатися дуже страшним, але уникнути атаки Clipper досить просто. Clipper залежить від того, що користувачі не знають про його існування та ігнорують попереджувальні знаки. Щоб перемогти його, важливо зрозуміти, як працює Clipper. Прочитавши цю статтю, ви виконали 90% роботи!

По-перше, завжди завантажуйте програму з магазину Google Play. Хоча Google Play не ідеальний, він набагато безпечніший за інші тіньові Інтернет-сайти. Намагайтеся уникати сайтів, які діють як сторонні магазини додатків для Android, оскільки вони набагато частіше містять зловмисне програмне забезпечення, ніж Google Play.

Завантажуючи програми з Google Play, перевірте загальну кількість завантажень програми перед встановленням. Якщо програма існує протягом тривалого часу та має низьку кількість завантажень, завантаження може бути ризикованим. Так само, якщо програма претендує на мобільну версію популярної служби, ще раз перевірте ім’я розробника.

Якщо назва відрізняється (навіть трохи) від офіційної назви розробника, це важлива ознака попередження про те, що щось не так.

Навіть якщо телефон заражений Clipper, користувачі можуть уникнути атаки, якщо бути більш обережними. Ще раз перевірте кожну адресу гаманця, яку буде вставлено, щоб переконатися, що вона не була змінена на півдорозі. Якщо вставлена ​​вами адреса відрізняється від скопійованої, це означає, що Clipper ховається в системі.

Запустіть повну перевірку Android на віруси та видаліть усі нещодавно встановлені тіньові програми.

Clipper може бути шкідливим для тих, хто працює з великою кількістю криптовалюти. Складна природа адрес гаманців у поєднанні з типовою схильністю користувачів копіювати та вставляти дає Clipper можливість атакувати.

Багато людей можуть навіть не усвідомлювати, що вони зробили, поки не стане надто пізно!

На щастя, перемогти зловмисне програмне забезпечення Clipper просто: ніколи не завантажуйте підозрілі програми та ще раз перевіряйте всі посилання на гаманець перед підтвердженням транзакцій.