Od: yao

Pozadí

Fake App phishing incidenty jsou ve světě Web3 velmi časté a bezpečnostní tým SlowMist již dříve také publikoval související články o analýze phishingu. Vzhledem k tomu, že v Číně neexistuje přímý přístup ke Google Play, mnoho uživatelů se často rozhodne přímo vyhledat a stáhnout aplikaci, kterou chtějí používat online. Typy falešných aplikací zaplavené internetem se však již neomezují pouze na peněženky a burzy. Sociální sítě software jako Telegram, WhatsApp a Skype jsou také nejhůře zasaženými oblastmi.

Nedávno se na bezpečnostní tým SlowMist obrátila oběť, která podle jeho popisu měla finanční prostředky odcizené po použití aplikace Skype stažené online, takže jsme provedli analýzu na základě falešného vzorku phishingu Skype poskytnutého obětí.

Falešná analýza aplikace Skype

Nejprve analyzujte informace o podpisu falešného Skype Obecně platí, že informace o podpisu falešné aplikace mají abnormální obsah, který je zcela odlišný od skutečné aplikace.

Vidíme, že informace o podpisu této falešné aplikace jsou poměrně jednoduché, téměř bez obsahu a vlastník i vydavatel jsou „CN“. Na základě těchto informací lze předběžně určit, že produkční skupinou phishingu bude pravděpodobně Číňan, a na základě data účinnosti certifikátu 2023.9.11 lze také odvodit, že doba výroby této aplikace není dlouhá. Další analýza také zjistila, že falešná aplikace používá verzi 8.87.0.403 a nejnovější číslo verze Skype je 8.107.0.215.

Pomocí vyhledávání Baidu jsme našli zdroje kanálů vydání několika identických falešných verzí Skype a informace o podpisu byly konzistentní s informacemi, které poskytla oběť.

Stáhněte si skutečnou verzi 8.87.403 Skype pro porovnání certifikátů:

Vzhledem k tomu, že certifikát souboru APK je nekonzistentní, znamená to, že se souborem APK bylo manipulováno a mohl do něj být vložen škodlivý kód, a proto jsme začali soubor APK dekompilovat a analyzovat.

„SecShell“ je funkce APK nabitá posílením Bangbang Toto je také běžná metoda obrany pro falešné APP, které často balí falešné APP, aby se zabránilo jejich analýze.

Po analýze rozbalené verze bezpečnostní tým SlowMist zjistil, že falešná aplikace hlavně upravila okhttp3, síťový rámec běžně používaný Androidem, k provádění různých škodlivých operací. Protože okhttp3 je rámec pro požadavky na provoz Android, všechny požadavky na provoz projdou okhttp3 zvládnout.

Upravený okhttp3 nejprve získá obrázky v každém adresáři mobilního zařízení Android a v reálném čase bude sledovat, zda jsou nové obrázky.

Získané obrázky budou nakonec nahrány do backendového rozhraní phishingové skupiny přes internet: https://bn-download3.com/api/index/upload.

Prostřednictvím platformy pro mapování aktiv Weibu Online bylo zjištěno, že phishingové backendové jméno „bn-download3.com“ se 2022.11.23 vydávalo za Binance Exchange a začalo se vydávat za backendové doménové jméno Skype až 2023.05.23:

Další analýza zjistila, že „bn-download[číslo]“ je falešný název domény používaný phishingovou skupinou speciálně pro Binance phishing, což ukazuje, že tato phishingová skupina je opakovaným pachatelem a konkrétně se zaměřuje na Web3.

Analýzou paketového provozu síťových požadavků, po spuštění a otevření falešného Skype, upravený okhttp3 začne žádat o oprávnění, jako je přístup k albům souborů. Vzhledem k tomu, že sociální aplikace vyžadují přenos souborů, telefonní hovory atd., průměrní uživatelé se tohoto chování neobávají. Po získání uživatelských oprávnění začal falešný Skype okamžitě nahrávat obrázky, informace o zařízení, ID uživatelského jména, číslo mobilního telefonu a další informace do backendu:

Prostřednictvím analýzy vrstvy provozu má testované zařízení mobilní telefon 3 obrázky, takže vidíme, že v provozu jsou 3 požadavky na upload.

Na začátku operace si falešný Skype vyžádá z rozhraní také seznam USDT (https://bn-download3.com/api/index/get_usdt_list2?channel=605), ale během analýzy bylo zjištěno, že server vrátil prázdný seznam:

V návaznosti na kód jsme zjistili, že falešný Skype bude sledovat, zda odpovídající zprávy odeslané a přijaté obsahují řetězce formátu adresy typu TRX a ETH Pokud se shodují, budou automaticky nahrazeny škodlivou adresou přednastavenou phishingovou skupinou:

Relevantní škodlivé adresy jsou následující:

TRX:

TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB

TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP

ETH:

0xF90acFBe580F58f912F557B444bA1bf77053fc03

0x03d65A25Db71C228c4BD202C4d6DbF06f772323A

Falešný Skype kromě napevno zakódované adresy také dynamicky získává škodlivou adresu prostřednictvím rozhraní „https://bn-download8.com/api/index/reqaddV2“.

V současné době se při testování falešné adresy Skype pro odeslání na jiný účet zjistí, že výměna adresy se již neprovádí a koncové rozhraní phishingového rozhraní bylo uzavřeno, aby se vrátila škodlivá adresa.

V tomto bodě analýzy v kombinaci s názvem phishingové domény, cestou rozhraní a datem a časem backendu webové stránky jsme ji propojili s falešnou analýzou aplikace Binance „Li Kui nebo Li Gui“ vydanou 8. listopadu 2022? Fake Binance APP Phishing Analysis“, po analýze bylo zjištěno, že tyto dva incidenty byly ve skutečnosti spáchány stejným phishingovým gangem.

Prostřednictvím reverzní kontroly doménových jmen IP bylo objeveno více phishingových doménových jmen.

Analýza škodlivých adres

Bezpečnostní tým SlowMist po analýze škodlivou adresu okamžitě zablokoval. Aktuální skóre rizika výše uvedených adres je tedy 100 bodů, což je vážné riziko.

Pomocí analýzy MistTrack bylo zjištěno, že adresa řetězce TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) obdržela celkem přibližně 192 856 USDT a 110 vkladových transakcí. Na této adrese je stále nějaký zůstatek a poslední transakce proběhla 8. listopadu.

Pokračováním ve sledování záznamů o výběru jsme zjistili, že většina prostředků byla převedena v dávkách.

Pokračujte v používání MistTrack k analýze adresy řetězce ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03 Tato adresa obdržela celkem přibližně 7 800 USDT s 10 vkladovými transakcemi, které byly převedeny 11. července.

Pokračováním analýzy jsme zjistili, že většina prostředků byla převedena prostřednictvím BitKeep's Swap a zdrojem manipulačního poplatku byla společnost OKX.

Shrnout

Tentokrát sdílený phishingový kanál byl implementován prostřednictvím falešných aplikací sociálního softwaru a bezpečnostní tým SlowMist také odhalil mnoho podobných případů. Mezi běžné chování falešných aplikací patří nahrávání obrázků souborů z mobilních telefonů, nahrávání dat, která mohou obsahovat citlivé informace o uživateli, a zlomyslné nahrazování obsahu síťového přenosu, jako je úprava cílové adresy převodů peněženky v tomto článku. Tato metoda je běžná ve falešných telegramech a falešné výměnné aplikace.

Uživatelé stále musí při stahování a používání aplikací potvrdit s více stranami a hledat oficiální kanály pro stahování, aby se vyhnuli stahování škodlivých aplikací a způsobení finančních ztrát. Blockchainový svět temných lesů vyžaduje, aby uživatelé neustále zlepšovali své povědomí o bezpečnosti a vyhýbali se klamání. Pro více bezpečnostních znalostí se doporučuje přečíst si „Blockchain Dark Forest Self-Rescue Handbook“ vytvořený týmem SlowMist Security Team: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .