Chinesische Hacker nutzen gefälschte Skype-App, um Krypto-Benutzer in neuem Phishing-Betrug anzugreifen

In China ist eine neue Phishing-Betrugsmasche aufgetaucht, bei der mithilfe einer gefälschten Skype-Video-App Krypto-Benutzer ins Visier genommen werden.
Einem Bericht des Krypto-Sicherheitsanalyseunternehmens SlowMist zufolge nutzten die chinesischen Hacker hinter dem Phishing-Betrug das chinesische Verbot internationaler Anwendungen als Grundlage für ihren Betrug, wobei viele Benutzer vom Festland häufig über Plattformen von Drittanbietern nach diesen verbotenen Anwendungen suchten.
Social-Media-Anwendungen wie Telegram, WhatsApp und Skype gehören zu den am häufigsten von Festlandnutzern gesuchten Anwendungen. Betrüger nutzen diese Schwachstelle daher häufig aus, um sie mit gefälschten, geklonten Anwendungen anzugreifen, die Malware enthalten, die für den Angriff auf Krypto-Wallets entwickelt wurde.
Baidu-Suchergebnisse für Skype. Quelle: Baidu
Bei seiner Analyse stellte das SlowMist-Team fest, dass die kürzlich erstellte gefälschte Skype-Anwendung die Version 8.87.0.403 anzeigte, während die neueste offizielle Version von Skype 8.107.0.215 ist. Das Team entdeckte auch, dass die Phishing-Backend-Domäne „bn-download3.com“ am 23. November 2022 die Binance-Börse imitierte und sich später am 23. Mai 2023 in eine Skype-Backend-Domäne änderte. Die gefälschte Skype-App wurde erstmals von einem Benutzer gemeldet, der durch denselben Betrug „eine beträchtliche Summe Geld“ verloren hatte.
Die Signatur der gefälschten App verriet, dass sie manipuliert worden war, um Malware einzuschleusen. Nach der Dekompilierung der App entdeckte das Sicherheitsteam ein modifiziertes, weit verbreitetes Android-Netzwerk-Framework namens „okhttp3“, das Krypto-Benutzer ins Visier nahm. Das standardmäßige okhttp3-Framework verarbeitet Android-Verkehrsanfragen, aber das modifizierte okhttp3 ruft Bilder aus verschiedenen Verzeichnissen auf dem Telefon ab und überwacht sie in Echtzeit auf neue Bilder.
Das bösartige okhttp3 fordert Benutzer auf, Zugriff auf interne Dateien und Bilder zu gewähren, und da die meisten Social-Media-Anwendungen diese Berechtigungen ohnehin anfordern, vermuten sie oft kein Fehlverhalten. Daher beginnt das gefälschte Skype sofort damit, Bilder, Geräteinformationen, Benutzer-ID, Telefonnummer und andere Informationen auf das Backend hochzuladen.
Sobald die gefälschte App Zugriff hat, sucht sie kontinuierlich nach Bildern und Nachrichten mit Tron (TRX)- und Ether (ETH)-ähnlichen Adressformatzeichenfolgen. Wenn solche Adressen erkannt werden, werden sie automatisch durch bösartige Adressen ersetzt, die von der Phishing-Bande voreingestellt wurden.
Gefälschtes Skype-App-Backend. Quelle: Slowmist
Beim SlowMist-Test wurde festgestellt, dass der Austausch der Wallet-Adressen gestoppt wurde, da das Backend der Phishing-Schnittstelle abgeschaltet wurde und keine bösartigen Adressen mehr zurücksendete.
Das Team entdeckte außerdem, dass eine Tron-Chain-Adresse (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) bis zum 8. November ungefähr 192.856 Tether (USDT) erhalten hatte, wobei insgesamt 110 Transaktionen an die Adresse getätigt wurden. Zur gleichen Zeit erhielt eine andere ETH-Chain-Adresse (0xF90acFBe580F58f912F557B444bA1bf77053fc03) ungefähr 7.800 USDT in 10 Transaktionen.
Das SlowMist-Team hat alle mit dem Betrug in Verbindung stehenden Wallet-Adressen markiert und auf die schwarze Liste gesetzt.
Magazin: Thailands Krypto-Opfer im Wert von 1 Milliarde US-Dollar, endgültige Frist von Mt. Gox, Tencent NFT-App gestrichen