Es difícil protegerse contra: análisis falso de phishing de aplicaciones de Skype

Por: yao
fondoLos incidentes de phishing de aplicaciones falsas son muy frecuentes en el mundo Web3, y el equipo de seguridad de SlowMist también ha publicado artículos de análisis de phishing relacionados anteriormente. Dado que en China no existe acceso directo a Google Play, muchos usuarios suelen optar por buscar y descargar directamente la aplicación que desean utilizar en línea. Sin embargo, los tipos de aplicaciones falsas que inundan Internet ya no se limitan a billeteras e intercambios sociales. Software como Telegram, WhatsApp y Skype también son las áreas más afectadas.
Recientemente, una víctima se comunicó con el equipo de seguridad de SlowMist. Según su descripción, le robaron fondos después de usar la aplicación de Skype descargada en línea, por lo que realizamos un análisis basado en la muestra falsa de phishing de Skype proporcionada por la víctima.
Análisis de aplicaciones falsas de SkypePrimero, analice la información de la firma de la aplicación falsa de Skype. Generalmente, la información de la firma de la aplicación falsa tiene un contenido anormal, que es bastante diferente al de la aplicación real.
Vemos que la información de la firma de esta aplicación falsa es relativamente simple, casi sin contenido, y tanto el propietario como el editor son "CN". Con base en esta información, se puede determinar preliminarmente que el grupo de producción de phishing probablemente sea chino y, con base en la fecha de vigencia del certificado del 11.9.2023, también se puede inferir que el tiempo de producción de esta aplicación no es largo. Un análisis más detallado también encontró que la aplicación falsa usa la versión 8.87.0.403 y el último número de versión de Skype es 8.107.0.215.
Utilizando la búsqueda de Baidu, encontramos las fuentes del canal de lanzamiento de múltiples versiones falsas idénticas de Skype, y la información de la firma era consistente con la proporcionada por la víctima.
Descargue la versión real 8.87.403 de Skype para comparar certificados:
Dado que el certificado del APK es inconsistente, significa que el archivo APK ha sido manipulado y es posible que se le haya inyectado código malicioso, por lo que comenzamos a descompilar y analizar el APK.
“SecShell” es una característica del APK que incluye refuerzo Bangbang. Este también es un método de defensa común para las aplicaciones falsas que a menudo agregan una capa de bombardeo a las aplicaciones falsas para evitar que sean analizadas.
Después de analizar la versión desempaquetada, el equipo de seguridad de SlowMist descubrió que la aplicación falsa modificaba principalmente okhttp3, un marco de red comúnmente utilizado por Android, para realizar varias operaciones maliciosas. Dado que okhttp3 es el marco para las solicitudes de tráfico de Android, todas las solicitudes de tráfico pasarán por okhttp3. manejar.
El okhttp3 modificado primero obtendrá las imágenes en cada directorio del dispositivo móvil Android y monitoreará si hay nuevas imágenes en tiempo real.
Las imágenes obtenidas eventualmente se cargarán en la interfaz de backend del grupo de phishing a través de Internet: https://bn-download3.com/api/index/upload.
A través de la plataforma de mapeo de activos de Weibu Online, se descubrió que el nombre de dominio de backend de phishing “bn-download3.com” se había estado haciendo pasar por Binance Exchange el 23.11.2022 y no comenzó a hacerse pasar por el nombre de dominio de backend de Skype hasta el 23.05.2023:
Un análisis más detallado encontró que "bn-download[número]" es un nombre de dominio falso utilizado por el grupo de phishing específicamente para el phishing de Binance. Esto muestra que este grupo de phishing es un infractor reincidente y se dirige específicamente a Web3.
Al analizar el tráfico de paquetes de solicitud de red, después de ejecutar y abrir el Skype falso, el okhttp3 modificado comenzará a solicitar permisos como el acceso a álbumes de archivos. Dado que las aplicaciones sociales requieren transferencia de archivos, llamadas telefónicas, etc., los usuarios promedio no desconfían de estos comportamientos. Después de obtener los permisos de usuario, el Skype falso inmediatamente comenzó a cargar imágenes, información del dispositivo, identificación de nombre de usuario, número de teléfono móvil y otra información al backend:
A través del análisis de la capa de tráfico, el teléfono móvil del dispositivo probado tiene 3 imágenes, por lo que podemos ver que hay 3 solicitudes de carga en el tráfico.
Al comienzo de la operación, el Skype falso también solicitará la lista USDT desde la interfaz (https://bn-download3.com/api/index/get_usdt_list2?channel=605), pero durante el análisis, se encontró que el El servidor devolvió una lista vacía:
Siguiendo el código, encontramos que el Skype falso monitoreará si los mensajes coincidentes enviados y recibidos contienen cadenas de formato de dirección de tipo TRX y ETH. Si coinciden, serán reemplazados automáticamente con la dirección maliciosa preestablecida por el grupo de phishing:
Las direcciones maliciosas relevantes son las siguientes:
TRX:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH:
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Además de la dirección codificada, el Skype falso también obtiene dinámicamente la dirección maliciosa a través de la interfaz "https://bn-download8.com/api/index/reqaddV2".
Actualmente, al probar la dirección falsa de Skype para enviarla a otra cuenta, se descubre que ya no se realiza el reemplazo de la dirección y que la interfaz backend de la interfaz de phishing se ha cerrado para devolver la dirección maliciosa.
En este punto del análisis, combinado con el nombre de dominio de phishing, la ruta de la interfaz y la fecha y hora del backend del sitio web, ¿lo hemos vinculado al análisis falso de la aplicación Binance "Li Kui o Li Gui" publicado el 8 de noviembre de 2022? Fake Binance APP Phishing Analysis", después del análisis se descubrió que los dos incidentes en realidad fueron cometidos por la misma banda de phishing.
Se descubrieron más nombres de dominio de phishing mediante la verificación de nombres de dominio inversos de IP.
Análisis de direcciones maliciosasEl equipo de seguridad de SlowMist bloqueó inmediatamente la dirección maliciosa después de analizarla. Por lo tanto, la puntuación de riesgo actual de las direcciones anteriores es de 100 puntos, lo cual es un riesgo grave.
Utilizando el análisis de MistTrack, se descubrió que la dirección de la cadena TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) recibió un total de aproximadamente 192,856 USDT y 110 transacciones de depósito. Todavía queda algo de saldo en esta dirección y la transacción más reciente fue el 8 de noviembre.
Al continuar rastreando los registros de retiros, descubrimos que la mayoría de los fondos se habían transferido en lotes.
Continúe usando MistTrack para analizar la dirección de la cadena ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). Esta dirección recibió un total de aproximadamente 7,800 USDT, con 10 transacciones de depósito. Se transfirieron todos los fondos.
Continuando con el análisis, descubrimos que la mayoría de los fondos se transfirieron a través del Swap de BitKeep y la fuente de la tarifa de manejo fue OKX.
ResumirEl canal de phishing compartido esta vez se implementó a través de aplicaciones de software social falsas y el equipo de seguridad de SlowMist también ha revelado muchos casos similares. Los comportamientos comunes de las aplicaciones falsas incluyen cargar imágenes de archivos desde teléfonos móviles, cargar datos que pueden contener información confidencial del usuario y reemplazar maliciosamente el contenido de la transmisión de red, como modificar la dirección de destino de las transferencias de billetera en este artículo. Este método es común en Telegram falso y. aplicaciones de intercambio falsas.
Los usuarios aún deben confirmar con varias partes al descargar y usar aplicaciones, y buscar canales de descarga oficiales para evitar descargar aplicaciones maliciosas y causar pérdidas financieras. El mundo del bosque oscuro de blockchain requiere que los usuarios mejoren continuamente su conciencia de seguridad y eviten ser engañados. Para obtener más conocimientos sobre seguridad, se recomienda leer el "Manual de autorrescate de Blockchain Dark Forest" elaborado por el equipo de seguridad de SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.