Negli ultimi mesi, il gioco clicker di Telegram Hamster Kombat ha conquistato il mondo degli appassionati di criptovalute. Nonostante il gameplay semplice, che prevede principalmente di toccare ripetutamente lo schermo del proprio dispositivo mobile, i giocatori sono attratti dalla possibilità di guadagni significativi, grazie alla promessa di una nuova criptovaluta legata al gioco. Tuttavia, questo successo ha attirato anche l’attenzione di attori malevoli, che stanno cercando di sfruttare la popolarità del gioco per scopi illeciti. ESET Research ha identificato diverse minacce mirate ai giocatori di Hamster Kombat, sia su dispositivi Android che Windows.
Minacce identificate da ESET
Spyware Android Ratel
Una delle principali minacce identificate è uno spyware Android denominato Ratel, distribuito tramite un canale Telegram non ufficiale che si spaccia per Hamster Kombat. Questo malware è in grado di rubare notifiche e inviare SMS utilizzando i fondi della vittima senza che questa se ne accorga. Una volta installato, l’applicazione malevola richiede permessi di accesso alle notifiche e di essere impostata come applicazione SMS predefinita. Queste autorizzazioni permettono al malware di intercettare tutti i messaggi SMS e le notifiche visualizzate, inviando poi informazioni al server di comando e controllo (C&C).
Fake App Stores
Un’altra minaccia riguarda falsi negozi di applicazioni che affermano di offrire Hamster Kombat per il download, ma che in realtà reindirizzano gli utenti verso annunci pubblicitari indesiderati. Questi siti imitano l’interfaccia di un app store legittimo, ingannando gli utenti meno esperti.
Malware su Windows
Anche gli utenti Windows sono nel mirino, con repository GitHub che offrono bot per la farm e autoclicker per Hamster Kombat, che in realtà contengono malware come Lumma Stealer. Questo malware, venduto come servizio (malware-as-a-service) sul dark web, è in grado di rubare portafogli di criptovalute, credenziali degli utenti, estensioni di autenticazione a due fattori e altre informazioni sensibili. Lumma Stealer utilizza diverse tecniche di offuscamento e iniezione di processi per evitare il rilevamento.
Dettagli del Malware
Ratel Spyware
Il Ratel spyware, mascherato da Hamster Kombat, richiede permessi di accesso alle notifiche e di impostazione come applicazione SMS predefinita. Una volta ottenuti, può inviare SMS e nascondere notifiche di oltre 200 app, tra cui Telegram, WhatsApp e molte app di messaggistica SMS, per evitare che la vittima scopra conferme di servizi a pagamento attivati a sua insaputa.
Lumma Stealer
Lumma Stealer, distribuito tramite GitHub, è un infostealer che utilizza diversi metodi di crittografia per nascondere il suo payload. Le applicazioni C++ e Go incorporano Lumma Stealer in eseguibili cifrati, mentre le applicazioni Python utilizzano un’interfaccia grafica fittizia per ingannare gli utenti. Una volta eseguito, Lumma Stealer ruba dati sensibili e li invia al server C&C tramite HTTP o FTP.
La popolarità di Hamster Kombat ha attirato numerosi attori malevoli che cercano di sfruttare l’interesse per il gioco a fini illeciti. ESET Research ha identificato diverse minacce sia su Android che Windows, inclusi spyware e infostealer, che mirano a rubare dati sensibili e fondi dagli utenti. Gli utenti devono essere cauti nel scaricare applicazioni da fonti non ufficiali e prestare attenzione alle autorizzazioni richieste dalle app.
