Onderzoekers hebben een malafide versie van WhatsApp ontdekt die standaard op bepaalde goedkope Androidtelefoons geïnstalleerd staat en cryptovaluta van gebruikers steelt. Dat laat antivirusbedrijf Doctor Web vandaag weten. De aanvallers hebben malafide code aan WhatsApp toegevoegd, waarna de getrojaniseerde versie op het toestel belandt voordat die naar de klant gaat. Waar dit precies in de supply chain gebeurt is niet duidelijk. De toegevoegde code is eigenlijk clipper-malware. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina.

Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Malware op het systeem kan het adres aanpassen, waardoor de aanvaller het geld ontvangt en niet de begunstigde van het slachtoffer. Daarnaast zoekt de malware naar afbeeldingen in bepaalde mappen en stuurt die naar de aanvallers. Op deze manier proberen de aanvallers afbeeldingen met de seed phrase van de cryptowallet te vinden. Via een seed phrase, die uit een verzameling woorden bestaat, kan er toegang tot de cryptowallet worden verkregen. Sommige gebruikers maken bij het creëren van een seed phrase een screenshot hiervan.

Volgens Doctor Web hebben de aanvallers op deze manieren meer dan 1,7 miljoen dollar aan crypto weten te stelen. Daarnaast stuurt de malware ook alle WhatsApp-berichten naar de aanvallers. De telefoons in kwestie worden aangeboden als bekende modellen en merken, maar zijn in werkelijkheid een ander, minder model. De aanvallers maken gebruik van een applicatie om de technische informatie die het toestel weergeeft te spoofen. Doctor Web adviseert om geen smartphones aan te schaffen met features die duidelijk niet overeenkomen met de prijs. Verder wordt aangeraden om geen screenshots met seed phrases, wachtwoorden en andere credentials onversleuteld op een telefoon op te slaan.