Μετά το Whatsapp, η κινεζική WeChat είναι η δεύτερη πιο δημοφιλής instant messaging εφαρμογή, η οποία χρησιμοποιείται από περισσότερους από 355 εκατομμύρια χρήστες σε όλο τον κόσμο.
Τη φήμη της εφαρμογής φαίνεται ωστόσο πως αξιοποιούν και εγκληματίες του κυβερνοχώρου, για τη διανομή ενός εξελιγμένου banking trojan, που στοχεύει στην υποκλοπή οικονομικών πληροφοριών.
Το WeChat επιτρέπει στους χρήστες να πραγματοποιούν πληρωμές για επιπρόσθετες υπηρεσίες και χαρακτηριστικά, όμως για να αποκτήσουν πρόσβαση στις δυνατότητες αυτές πρέπει να εισάγουν τα στοιχεία των καρτών πληρωμών τους στην εφαρμογή.
Το γεγονός αυτό ωθεί του εγκληματίες του κυβερνοχώρου προς την ανάπτυξη νέων και πιο εξελιγμένων τραπεζικών trojans και malwares, που στοχεύουν τα οικονομικά στοιχεία των χρηστών.
Ερευνητές ασφάλειας της Kaspersky Lab έχουν εντοπίσει ένα τραπεζικό Trojan, γνωστό και ως Banker.AndroidOS.Basti.a, που μιμείται τη νόμιμη εφαρμογή WeChat για συσκευές android. Κατά την εγκατάσταση, απαιτεί επίσης τα ίδια δικαιώματα (πχ πρόσβαση στο Internet, λήψη SMS, και άλλες υπηρεσίες) όπως ακριβώς και το πραγματικό Wechat app.
Οι ερευνητές διαπίστωσαν ότι ορισμένα modulesτου malware κρυπτογραφούνται, και αυτό το χαρακτηριστικό το κάνει πιο εξελιγμένο από άλλα τραπεζικά malwares του είδους. Οι συντάκτες του κακόβουλου λογισμικού έχουν χρησιμοποιήσει αποτελεσματική κρυπτογράφηση, προκειμένου να μην είναι εφικτή η αντίστροφη μηχανική (Reverse Engineering) του κώδικα.
Ωστόσο, οι ερευνητές της Kaspersky κατάφεραν να αποκωδικοποιήσουν το threat module, αναλύοντας τις λειτουργίες του κακόβουλου λογισμικού.
Μόλις το πλαστό WeChat app εγκατασταθεί σε συσκευές Android, ζητά από τους χρήστες να εισάγουν κάποιες χρήσιμες πληροφορίες, όπως αριθμούς τηλεφώνων, αριθμούς καρτών πληρωμής, PINS και άλλα οικονομικά στοιχεία, τα οποία αποστέλλονται στη συνέχεια σε έναν λογαριασμό ηλεκτρονικού ταχυδρομείου, που ελέγχεται από τους δημιουργούς του malware.
To συγκεκριμένο email και ο κωδικός του ανακτήθηκε από τους ερευνητές, καθώς συμπεριλαμβανόταν στον πηγαίο κώδικα της εφαρμογής.
Mε τον τρόπο αυτό, οι ερευνητές κατάφεραν να αποκτήσουν πρόσβαση στο email, διαπιστώνοντας ότι τα θύματα της κακόβουλης εφαρμογής είναι ήδη αρκετά.
