Čínští hackeři používají falešnou aplikaci Skype k cílení na uživatele kryptoměn v novém phishingovém podvodu

V Číně se objevil nový phishingový podvod, který používá falešnou video aplikaci Skype k cílení na uživatele kryptoměn.
Podle zprávy společnosti SlowMist, která se zabývá krypto bezpečnostními analytiky, čínští hackeři stojící za phishingovým podvodem použili čínský zákaz mezinárodních aplikací jako základ svého podvodu, přičemž mnoho uživatelů z pevniny často tyto zakázané aplikace vyhledává prostřednictvím platforem třetích stran.
Aplikace sociálních médií, jako je Telegram, WhatsApp a Skype, jsou některé z nejběžnějších aplikací, které uživatelé z pevniny vyhledávají, takže podvodníci často využívají tuto zranitelnost k tomu, aby se na ně zaměřili pomocí falešných, klonovaných aplikací obsahujících malware vyvinutý k útoku na kryptopeněženky.
 Výsledky vyhledávání Baidu pro Skype. Zdroj: Baidu
Ve své analýze tým SlowMist zjistil, že nedávno vytvořená falešná aplikace Skype zobrazovala verzi 8.87.0.403, zatímco nejnovější oficiální verze Skype je 8.107.0.215. Tým také zjistil, že phishingová back-endová doména „bn-download3.com“ se 23. listopadu 2022 vydávala za burzu Binance, která se později 23. května 2023 změnila tak, aby napodobovala back-end doménu Skype. Falešná aplikace Skype byla poprvé nahlášeno uživatelem, který kvůli stejnému podvodu přišel o „značné množství peněz“.
Podpis falešné aplikace odhalil, že s ní bylo manipulováno za účelem vložení malwaru. Po dekompilaci aplikace bezpečnostní tým objevil upravený běžně používaný síťový rámec pro Android, „okhttp3“, který cílí na uživatele kryptoměn. Výchozí rámec okhttp3 zpracovává požadavky na provoz systému Android, ale upravený rámec okhttp3 získává obrázky z různých adresářů v telefonu a sleduje jakékoli nové obrázky v reálném čase.
Škodlivý okhttp3 žádá uživatele, aby poskytli přístup k interním souborům a obrázkům, a protože většina aplikací sociálních médií stejně požaduje tato oprávnění, často nemají podezření na žádné provinění. Falešný Skype tak začne okamžitě nahrávat obrázky, informace o zařízení, ID uživatele, telefonní číslo a další informace na back-end.
Jakmile má falešná aplikace přístup, neustále hledá obrázky a zprávy s řetězci formátu adresy podobnými Tron (TRX) a Ether (ETH). Pokud jsou takové adresy detekovány, jsou automaticky nahrazeny škodlivými adresami předem nastavenými phishingovým gangem.
 Falešný back-end aplikace Skype. Zdroj: Slowmist
Během testování SlowMist bylo zjištěno, že výměna adresy peněženky se zastavila, přičemž backend phishingového rozhraní byl vypnut a již nevrací škodlivé adresy.
Tým také zjistil, že adresa řetězce Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) do 8. listopadu přijala přibližně 192 856 Tether (USDT) s celkovým počtem 110 transakcí provedených na adresu. Ve stejnou dobu další adresa řetězce ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) obdržela přibližně 7 800 USDT v 10 transakcích.
Tým SlowMist označil všechny adresy peněženek spojené s podvodem a uvedl je na černou listinu.
Magazín: Thajská oběť kryptoměn ve výši 1 miliardy dolarů, konečný termín Mt. Gox, aplikace Tencent NFT ukončena