Los piratas informáticos chinos utilizan una aplicación falsa de Skype para atacar a los usuarios de criptomonedas en una nueva estafa de phishing

Ha surgido una nueva estafa de phishing en China que utiliza una aplicación de vídeo falsa de Skype para apuntar a usuarios de criptomonedas.
Según un informe de la empresa de análisis de seguridad criptográfica SlowMist, los piratas informáticos chinos detrás de la estafa de phishing utilizaron la prohibición de China de las aplicaciones internacionales como base para su fraude, y muchos usuarios del continente a menudo buscaban estas aplicaciones prohibidas a través de plataformas de terceros.
Las aplicaciones de redes sociales como Telegram, WhatsApp y Skype son algunas de las aplicaciones más comunes buscadas por los usuarios del continente, por lo que los estafadores suelen utilizar esta vulnerabilidad para atacarlos con aplicaciones falsas y clonadas que contienen malware desarrollado para atacar carteras criptográficas.
 Resultados de búsqueda de Baidu para Skype. Fuente: Baidu
En su análisis, el equipo de SlowMist descubrió que la aplicación falsa de Skype creada recientemente mostraba la versión 8.87.0.403, mientras que la última versión oficial de Skype es 8.107.0.215. El equipo también descubrió que el dominio back-end de phishing “bn-download3.com” se hizo pasar por el intercambio Binance el 23 de noviembre de 2022, y luego cambió para imitar un dominio back-end de Skype el 23 de mayo de 2023. La aplicación falsa de Skype fue informado por primera vez por un usuario que perdió “una cantidad significativa de dinero” en la misma estafa.
La firma de la aplicación falsa reveló que había sido manipulada para insertar malware. Después de descompilar la aplicación, el equipo de seguridad descubrió un marco de red de Android modificado de uso común, "okhttp3", para apuntar a los usuarios de criptomonedas. El marco okhttp3 predeterminado maneja las solicitudes de tráfico de Android, pero el okhttp3 modificado obtiene imágenes de varios directorios en el teléfono y monitorea cualquier imagen nueva en tiempo real.
El malicioso okhttp3 solicita a los usuarios que den acceso a archivos e imágenes internos y, como la mayoría de las aplicaciones de redes sociales solicitan estos permisos de todos modos, a menudo no sospechan que se haya cometido ningún delito. Por lo tanto, el Skype falso comienza inmediatamente a cargar imágenes, información del dispositivo, ID de usuario, número de teléfono y otra información al backend.
Una vez que la aplicación falsa tiene acceso, busca continuamente imágenes y mensajes con cadenas de formato de dirección similares a Tron (TRX) y Ether (ETH). Si se detectan dichas direcciones, se reemplazan automáticamente con direcciones maliciosas preestablecidas por la banda de phishing.
 Back-end falso de la aplicación Skype. Fuente: niebla lenta
Durante las pruebas de SlowMist, se descubrió que el reemplazo de la dirección de la billetera se había detenido, con el back-end de la interfaz de phishing cerrado y ya no devolvía direcciones maliciosas.
El equipo también descubrió que una dirección de la cadena Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) había recibido aproximadamente 192,856 Tether (USDT) hasta el 8 de noviembre, con un total de 110 transacciones realizadas en la dirección. Al mismo tiempo, otra dirección de la cadena ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) recibió aproximadamente 7800 USDT en 10 transacciones.
El equipo de SlowMist marcó y puso en la lista negra todas las direcciones de billetera vinculadas a la estafa.
Revista: El sacrificio criptográfico de mil millones de dólares de Tailandia, la fecha límite final de Mt. Gox, la aplicación Tencent NFT rechazada