Útočníci se pomocí tohoto škodlivého kódu zaměřují na operace s kryptoměnami Bitcoin a Ethereum. Úpravou zkopírovaného textu takto dokáží změnit adresu peněženky oběti na adresu peněženky útočníka. Malware, který umožňuje tento druh manipulace, se označuje jako clipper.
S clippery jsme se dříve setkávali na osobních počítačích s operačním systémem Windows a na neoficiálních fórech pro uživatele mobilní platformy Android. Běžný uživatel mobilního zařízení se tak s hrozbou nesetkal. Nyní se ale situace změnila, a pokud provádíte transakce s kryptoměnami v chytrém telefonu či tabletu s operačním systémem Android, měli byste být obezřetní.
Nově objevený clipper jsme detekovali jako Android/Clipper.C. Využívá skutečnosti, že držitelé kryptoměn zpravidla nezadávají při transakcích adresu své peněženky ručně. Namísto toho, aby ji napsali, mají uživatelé tendenci adresu zkopírovat a vložit. Toho využívají útočníci, text – nebo spíše dlouhý řetězec písmen a čísel – zkopírovaný do schránky změní z původní adresy příjemce transakce na adresu peněženky spravovanou útočníkem.
Tento druh malware se poprvé objevil v roce 2017, kdy jeho prostřednictvím útočníci cílili na uživatele operačního systému Windows. V roce 2018 jsme objevili hned tři takové aplikace. V srpnu 2018 se na fórech, kde jsou aktivní útočníci, objevila k prodeji první clipper aplikace pro Android. Tento malware se následně objevil v několika neoficiálních obchodech s aplikacemi.
Clipper, který jsme v Google Play objevili z kraje února letošního roku, se vydává za legitimní službu s názvem MetaMask.