Az Intezer Labs biztonsági cég kutatói egy közel egy éve tartó kiberbűnözői kampányra derítettek fényt. A bűnözők hamis kriptovaluta-kezelő appokat hoztak létre, amelyeket különféle, virtuális fizetőeszközökkel foglalkozó fórumokon közzétett hirdetések segítségével terjesztettek. Az appok viszont ahelyett, hogy az általuk ígért könnyebb pénzkezelést vagy jobb átváltást valósították volna meg, titokban egy új típusú trójai vírust telepítettek a megtévesztett felhasználók gépére, amely aztán megcsapolta az áldozatok számláját.
A kampányt 2020. decemberében leplezték le, de a kártevő terjesztése már 2020. januárjában megkezdődött. A bűnözők három kriptovaluta appot dolgoztak ki, a Jammet, az eTrade/Kintumot, illetve a DaoPokert, és a jamm[.]to, kintum[.]io, valamint daopker[.]com webhelyeken hosztolták őket.
Az első két app elvileg kriptovaluta-kereskedelemhez biztosított platformot, a harmadik egy kriptovalutás póker app volt. Mindhárom szoftver Windows, Mac, és Linux változatban is kijött, és az Electron appkészítő frameworkre épült.
A megtévesztő alkalmazások valódi célja a kutatók által ElectroRAT-nek elkeresztelt trójai terjesztése volt. Ez a rosszindulatú kód többféle képességgel rendelkezik: rögzíti a billentyűleütéseket, képernyőfotókat készít, fájlokat tölt fel és le a meghajtóról, és utasításokat hajt végre az áldozat konzolján. Az Intezer kutatói szerint a vírust elsősorban kriptovaluta-pénztárcák kulcsainak eltulajdonítására, és az áldozat számlájának lemerítésére használták.
Az Intezer becslése szerint a kampányban nagyjából 6500-an fertőződtek meg: akinek az elmúlt egy évben pénz tűnt el a számlájáról, annak érdemes megnéznie, hogy nem telepítette-e az említett appok valamelyikét.
Az ElectroRAT-ot egyébként Go nyelven írták, amely egyre népszerűbb a vírusfejlesztők körében, mert a Go vírusok elemzése nehezebb, mint a C, C++ és C# nyelvben íródottaké, és egyszerűbben lehet benne más platformokra átültetni a kódot, emiatt kiválóan alkalmas többplatformos fejlesztésekre.