Schwer zu verhindern: Fake-Phishing-Analyse der Skype-App

Von: yao
HintergrundPhishing-Vorfälle mit gefälschten Apps kommen in der Web3-Welt sehr häufig vor, und das SlowMist-Sicherheitsteam hat auch bereits entsprechende Artikel zur Phishing-Analyse veröffentlicht. Da es in China keinen direkten Zugriff auf Google Play gibt, entscheiden sich viele Benutzer dafür, die App, die sie verwenden möchten, direkt online zu suchen und herunterzuladen. Die im Internet verbreiteten Arten gefälschter Apps beschränken sich jedoch nicht mehr auf Wallets und Börsen Auch Software wie Telegram, WhatsApp und Skype sind die am stärksten betroffenen Bereiche.
Kürzlich kontaktierte ein Opfer das SlowMist-Sicherheitsteam. Seiner Beschreibung zufolge wurden ihm Gelder gestohlen, nachdem er die Skype-App online heruntergeladen hatte. Daher führten wir eine Analyse auf der Grundlage der vom Opfer bereitgestellten gefälschten Skype-Phishing-Probe durch.
Analyse gefälschter Skype-AppsAnalysieren Sie zunächst die Signaturinformationen des gefälschten Skype. Im Allgemeinen weisen die Signaturinformationen der gefälschten App ungewöhnliche Inhalte auf, die sich deutlich von denen der echten App unterscheiden.
Wir sehen, dass die Signaturinformationen dieser gefälschten App relativ einfach sind, fast keinen Inhalt enthalten und der Eigentümer und Herausgeber beide „CN“ sind. Basierend auf diesen Informationen kann vorläufig festgestellt werden, dass es sich bei der Phishing-Produktionsgruppe wahrscheinlich um Chinesen handelt, und basierend auf dem Gültigkeitsdatum des Zertifikats vom 11.09.2023 kann auch gefolgert werden, dass die Produktionszeit dieser App nicht lang ist. Eine weitere Analyse ergab außerdem, dass die gefälschte App Version 8.87.0.403 verwendet und die neueste Versionsnummer von Skype 8.107.0.215 ist.
Mithilfe der Baidu-Suche haben wir die Veröffentlichungskanalquellen mehrerer identischer gefälschter Skype-Versionen gefunden und die Signaturinformationen stimmten mit denen des Opfers überein.
Laden Sie die echte Skype-Version 8.87.403 zum Zertifikatsvergleich herunter:
Da das Zertifikat der APK inkonsistent ist, bedeutet dies, dass die APK-Datei manipuliert wurde und möglicherweise Schadcode eingeschleust wurde. Daher haben wir mit der Dekompilierung und Analyse der APK begonnen.
„SecShell“ ist eine Funktion von APK mit Bangbang-Verstärkung. Dies ist auch eine gängige Abwehrmethode für gefälschte APPs, um zu verhindern, dass sie analysiert werden.
Nach der Analyse der entpackten Version stellte das SlowMist-Sicherheitsteam fest, dass die gefälschte App hauptsächlich okhttp3, ein von Android häufig verwendetes Netzwerk-Framework, modifizierte, um verschiedene böswillige Vorgänge auszuführen. Da okhttp3 das Framework für Android-Verkehrsanfragen ist, werden alle Verkehrsanfragen über okhttp3 geleitet zu handhaben.
Das modifizierte okhttp3 ruft zunächst die Bilder in jedem Verzeichnis des Android-Mobilgeräts ab und überwacht in Echtzeit, ob neue Bilder vorhanden sind.
Die erhaltenen Bilder werden schließlich über das Internet auf die Backend-Schnittstelle der Phishing-Gruppe hochgeladen: https://bn-download3.com/api/index/upload.
Über die Asset-Mapping-Plattform von Weibu Online wurde festgestellt, dass sich der Phishing-Backend-Domainname „bn-download3.com“ am 23.11.2022 als Binance Exchange ausgab und sich erst am 23.05.2023 als Backend-Domainname von Skype ausgab:
Eine weitere Analyse ergab, dass „bn-download[number]“ ein gefälschter Domainname ist, der von der Phishing-Gruppe speziell für Binance-Phishing verwendet wird. Dies zeigt, dass diese Phishing-Gruppe ein Wiederholungstäter ist und speziell auf Web3 abzielt.
Durch die Analyse des Netzwerkanforderungspaketverkehrs beginnt das modifizierte okhttp3 nach dem Ausführen und Öffnen des gefälschten Skype, Berechtigungen wie den Zugriff auf Dateialben zu beantragen. Da soziale Apps Dateiübertragungen, Telefonanrufe usw. erfordern, haben durchschnittliche Benutzer keine Angst vor diesen Verhaltensweisen. Nach Erhalt der Benutzerberechtigungen begann das gefälschte Skype sofort damit, Bilder, Geräteinformationen, Benutzernamen-ID, Mobiltelefonnummer und andere Informationen in das Backend hochzuladen:
Durch die Traffic-Layer-Analyse verfügt das getestete Mobiltelefon über drei Bilder, sodass wir sehen können, dass sich im Traffic drei Upload-Anfragen befinden.
Zu Beginn des Vorgangs fordert das gefälschte Skype auch die USDT-Liste von der Schnittstelle (https://bn-download3.com/api/index/get_usdt_list2?channel=605) an, bei der Analyse wurde jedoch festgestellt, dass die Der Server hat eine leere Liste zurückgegeben:
Bei der Nachverfolgung des Codes haben wir festgestellt, dass das gefälschte Skype überwacht, ob die gesendeten und empfangenen übereinstimmenden Nachrichten Zeichenfolgen im TRX- und ETH-Typ-Adressformat enthalten. Bei Übereinstimmung wird diese automatisch durch die von der Phishing-Gruppe voreingestellte schädliche Adresse ersetzt:
Die relevanten Schadadressen lauten wie folgt:
TRX:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH: 
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Zusätzlich zur hartcodierten Adresse erhält das gefälschte Skype auch dynamisch die schädliche Adresse über die Schnittstelle „https://bn-download8.com/api/index/reqaddV2“.
Beim Testen der gefälschten Skype-Adresse zum Senden an ein anderes Konto wurde derzeit festgestellt, dass die Adressersetzung nicht mehr durchgeführt wird und die Backend-Schnittstelle der Phishing-Schnittstelle geschlossen wurde, um die bösartige Adresse zurückzugeben.
An diesem Punkt der Analyse haben wir sie in Kombination mit dem Phishing-Domainnamen, dem Schnittstellenpfad sowie Datum und Uhrzeit des Website-Backends mit der gefälschten Binance-App-Analyse „Li Kui oder Li Gui“ verknüpft, die am 8. November 2022 veröffentlicht wurde? Fake Binance APP Phishing Analysis“, nach der Analyse stellte sich heraus, dass die beiden Vorfälle tatsächlich von derselben Phishing-Bande begangen wurden.
Durch die Überprüfung von IP-Reverse-Domainnamen wurden weitere Phishing-Domainnamen entdeckt.
Analyse schädlicher AdressenDas SlowMist-Sicherheitsteam hat die schädliche Adresse nach der Analyse sofort blockiert. Daher liegt der aktuelle Risikowert der oben genannten Adressen bei 100 Punkten, was ein ernstes Risiko darstellt.
Mithilfe der MistTrack-Analyse wurde festgestellt, dass die TRON-Kettenadresse (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) insgesamt etwa 192.856 USDT und 110 Einzahlungstransaktionen erhalten hat. An dieser Adresse ist immer noch ein Restbetrag vorhanden, und die letzte Transaktion fand am 8. November statt.
Als wir die Auszahlungsaufzeichnungen weiter verfolgten, stellten wir fest, dass die meisten Gelder stapelweise überwiesen worden waren.
Verwenden Sie weiterhin MistTrack, um die ETH-Kettenadresse (0xF90acFBe580F58f912F557B444bA1bf77053fc03) zu analysieren, wobei alle Gelder am 11. Juli überwiesen wurden.
Bei der weiteren Analyse stellten wir fest, dass die meisten Gelder über BitKeeps Swap transferiert wurden und die Bearbeitungsgebühr von OKX stammte.
ZusammenfassenDer dieses Mal geteilte Phishing-Kanal wurde durch gefälschte Social-Software-Apps implementiert, und das SlowMist-Sicherheitsteam hat auch viele ähnliche Fälle aufgedeckt. Zu den häufigen Verhaltensweisen gefälschter Apps gehören das Hochladen von Dateibildern von Mobiltelefonen, das Hochladen von Daten, die möglicherweise vertrauliche Benutzerinformationen enthalten, und das böswillige Ersetzen von Netzwerkübertragungsinhalten, z. B. das Ändern der Zieladresse von Wallet-Übertragungen in diesem Artikel. Diese Methode ist in gefälschten Telegrammen üblich gefälschte Exchange-Apps.
Benutzer müssen sich beim Herunterladen und Verwenden von APPs weiterhin von mehreren Parteien bestätigen lassen und nach offiziellen Downloadkanälen suchen, um das Herunterladen bösartiger APPs und die damit verbundenen finanziellen Verluste zu vermeiden. In der Blockchain-Dark-Forest-Welt müssen Benutzer ihr Sicherheitsbewusstsein kontinuierlich verbessern und nicht getäuscht werden. Für weitere Sicherheitskenntnisse wird empfohlen, das vom SlowMist Security Team erstellte „Blockchain Dark Forest Self-Rescue Handbook“ zu lesen: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .