在涉及数字货币和加密货币的操作过程中,能够被用于替换剪贴板中的电子钱包地址的Windows木马病毒广泛存在。近两年来,无论是普通计算机用户,还是信息安全专家,对于这种木马都越来越熟悉。但这里存在这样一个事实,那就是具有类似功能的Android木马相比却很少见。
来自俄罗斯防病毒厂商Doctor Web的病毒分析师在近日给我们带来了“惊喜”,他们在本月早些时候就发现了一个为Android移动平台而设计的具有类似功能的恶意程序。这个Android木马被命名为“Clipper”,能够在剪贴板中替换电子钱包地址,以便将资金发送给网络犯罪分子,而不是钱包所有者。
Doctor Web的病毒分析师表示,共有两个变种被添加到了他们的病毒数据库:Android.Clipper.1.origin和Android.Clipper.2.origin。这两个恶意程序对Android用户构成了严重的威胁,尤其是对于加密货币投资者而言。
Clipper木马能够替换QIWI、WebMoney(R和Z)和Yandex的电子钱包地址。除了这几个支付系统之外,Clipper木马也能够替换加密货币钱包地址,如比特币(Bitcoin)、门罗币(Monero)、Zcash币、狗狗币(DOGE)、达世币(DASH)、以太币(Etherium)、黑币(Blackcoin)和莱特币(Litecoin)。捆绑该木马的应用程序伪装成一款比特币数字钱包应用,如下图所示:
一旦恶意应用被打开,它就会显示一个虚假的错误信息并退出,然后在后台默默地运行。恶意应用将其图标隐藏在Android主屏幕上的应用程序列表中,如果不仔细查看就很难发现。随后,在每次打开受感染的智能手机或平板电脑时,Clipper木马就会随之自行启动。
Clipper木马会随时监视剪贴板内容的变化。一旦用户将电子钱包地址复制到剪贴板,它就会将地址发送到由网络犯罪分子控制的命令和控制服务器。然后,从服务器上获取网络犯罪分子的钱包地址,并用它替换剪贴板中的地址。
Clipper木马的开发者目前正在为销售这款Android木马程序在黑客论坛上积极地进行广告宣传。从其发布的广告来看,购买者可以自由地为自己购买的恶意应用副本使用任何应用程序的图标和名称。因此,Doctor Web的病毒分析师预计这款Android木马程序在不久之后可能会以更多合法应用程序的名义大量出现。