Difficile de se prémunir contre : analyse du phishing de fausses applications Skype

Par : yao
arrière-planLes incidents de phishing contre les fausses applications sont très fréquents dans le monde Web3, et l'équipe de sécurité de SlowMist a également publié des articles d'analyse du phishing sur ce sujet. Puisqu'il n'y a pas d'accès direct à Google Play en Chine, de nombreux utilisateurs choisissent souvent de rechercher et de télécharger directement l'application qu'ils souhaitent utiliser en ligne. Cependant, les types de fausses applications inondées sur Internet ne se limitent plus aux portefeuilles et aux échanges sociaux. les logiciels tels que Telegram, WhatsApp et Skype sont également les domaines les plus durement touchés.
Récemment, une victime a contacté l'équipe de sécurité de SlowMist. Selon sa description, des fonds lui ont été volés après avoir utilisé l'application Skype téléchargée en ligne. Nous avons donc effectué une analyse basée sur le faux échantillon de phishing Skype fourni par la victime.
Analyse des fausses applications SkypeTout d’abord, analysez les informations de signature de la fausse application Skype. Généralement, les informations de signature de la fausse application ont un contenu anormal, qui est assez différent de la vraie application.
Nous voyons que les informations de signature de cette fausse application sont relativement simples, avec presque aucun contenu, et que le propriétaire et l'éditeur sont tous deux « CN ». Sur la base de ces informations, on peut déterminer à titre préliminaire que le groupe de production de phishing est probablement chinois, et sur la base de la date d'entrée en vigueur du certificat du 2023.9.11, on peut également en déduire que le temps de production de cette application n'est pas long. Une analyse plus approfondie a également révélé que la fausse application utilise la version 8.87.0.403 et que le dernier numéro de version de Skype est 8.107.0.215.
Grâce à la recherche Baidu, nous avons trouvé les sources des canaux de diffusion de plusieurs fausses versions identiques de Skype, et les informations de signature étaient cohérentes avec celles fournies par la victime.
Téléchargez la vraie version 8.87.403 de Skype pour comparer les certificats :
Étant donné que le certificat de l'APK est incohérent, cela signifie que le fichier APK a été falsifié et peut avoir été injecté avec un code malveillant, nous avons donc commencé à décompiler et analyser l'APK.
« SecShell » est une fonctionnalité d'APK renforcée par Bangbang. Il s'agit également d'une méthode de défense courante pour les fausses applications. Les gangs de phishing emballent souvent de fausses applications pour empêcher leur analyse.
Après avoir analysé la version décompressée, l'équipe de sécurité de SlowMist a découvert que la fausse application modifiait principalement okhttp3, un framework réseau couramment utilisé par Android, pour effectuer diverses opérations malveillantes. Puisque okhttp3 est le framework pour les demandes de trafic Android, toutes les demandes de trafic passeront par okhttp3. gérer.
L'okhttp3 modifié obtiendra d'abord les images dans chaque répertoire de l'appareil mobile Android et surveillera s'il y a de nouvelles images en temps réel.
Les images obtenues seront finalement téléchargées sur l’interface backend du groupe de phishing via Internet : https://bn-download3.com/api/index/upload.
Grâce à la plateforme de cartographie des actifs de Weibu Online, il a été découvert que le nom de domaine backend de phishing « bn-download3.com » avait usurpé l'identité de Binance Exchange le 23/11/2022 et n'a commencé à se faire passer pour le nom de domaine backend de Skype que le 23/05/2023 :
Une analyse plus approfondie a révélé que « bn-download[number] » est un faux nom de domaine utilisé par le groupe de phishing spécifiquement pour le phishing Binance. Cela montre que ce groupe de phishing est un récidiviste et cible spécifiquement Web3.
En analysant le trafic des paquets de requêtes réseau, après avoir exécuté et ouvert le faux Skype, le okhttp3 modifié commencera à demander des autorisations telles que l'accès aux albums de fichiers. Étant donné que les applications sociales nécessitent le transfert de fichiers, les appels téléphoniques, etc., les utilisateurs moyens ne se méfient pas de ces comportements. Après avoir obtenu les autorisations des utilisateurs, le faux Skype a immédiatement commencé à télécharger des photos, des informations sur l'appareil, l'identifiant du nom d'utilisateur, le numéro de téléphone portable et d'autres informations vers le backend :
Grâce à l'analyse de la couche de trafic, le téléphone mobile de l'appareil testé contient 3 images, nous pouvons donc voir qu'il y a 3 demandes de téléchargement dans le trafic.
Au début de l'opération, le faux Skype demandera également la liste USDT depuis l'interface (https://bn-download3.com/api/index/get_usdt_list2?channel=605), mais lors de l'analyse, il a été constaté que le le serveur a renvoyé une liste vide :
En suivant le code, nous avons constaté que le faux Skype surveillera si les messages correspondants envoyés et reçus contiennent des chaînes de format d'adresse de type TRX et ETH. S'ils correspondent, ils seront automatiquement remplacés par l'adresse malveillante prédéfinie par le groupe de phishing :
Les adresses malveillantes pertinentes sont les suivantes :
TRX :
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETF :
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
En plus de l'adresse codée en dur, le faux Skype obtient également dynamiquement l'adresse malveillante via l'interface « https://bn-download8.com/api/index/reqaddV2 ».
Actuellement, lors du test de la fausse adresse Skype à envoyer à un autre compte, il s'avère que le remplacement de l'adresse n'est plus effectué et que l'interface backend de l'interface de phishing a été fermée pour renvoyer l'adresse malveillante.
À ce stade de l'analyse, combiné avec le nom de domaine de phishing, le chemin de l'interface et la date et l'heure du backend du site Web, nous l'avons lié à la fausse analyse de l'application Binance « Li Kui ou Li Gui » publiée le 8 novembre 2022 ? Fake Binance APP Phishing Analysis", après analyse, il a été constaté que les deux incidents avaient en fait été commis par le même gang de phishing.
D'autres noms de domaine de phishing ont été découverts grâce à la vérification inversée des noms de domaine IP.
Analyse des adresses malveillantesL'équipe de sécurité de SlowMist a immédiatement bloqué l'adresse malveillante après l'avoir analysée. Par conséquent, le score de risque actuel des adresses ci-dessus est de 100 points, ce qui représente un risque sérieux.
Grâce à l'analyse MistTrack, il a été constaté que l'adresse de la chaîne TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) a reçu un total d'environ 192 856 USDT et 110 transactions de dépôt. Il reste encore un certain solde à cette adresse et la transaction la plus récente a eu lieu le 8 novembre.
En continuant à suivre les enregistrements de retrait, nous avons constaté que la plupart des fonds avaient été transférés par lots.
Continuez à utiliser MistTrack pour analyser l'adresse de la chaîne ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). Cette adresse a reçu un total d'environ 7 800 USDT, avec 10 transactions de dépôt. La transaction la plus récente a eu lieu le 11 juillet.
En poursuivant l’analyse, nous avons constaté que la plupart des fonds étaient transférés via le Swap de BitKeep et que la source des frais de traitement était OKX.
RésumerLe canal de phishing partagé cette fois-ci a été mis en œuvre via de fausses applications de logiciels sociaux, et l'équipe de sécurité de SlowMist a également divulgué de nombreux cas similaires. Les comportements courants des fausses applications incluent le téléchargement d'images de fichiers à partir de téléphones mobiles, le téléchargement de données pouvant contenir des informations utilisateur sensibles et le remplacement malveillant du contenu de transmission réseau, comme la modification de l'adresse de destination des transferts de portefeuille dans cet article. Cette méthode est courante dans les faux Telegram et. fausses applications d'échange.
Les utilisateurs doivent toujours confirmer auprès de plusieurs parties lors du téléchargement et de l'utilisation des applications, et rechercher des canaux de téléchargement officiels pour éviter de télécharger des applications malveillantes et de provoquer des pertes financières. Le monde de la forêt sombre de la blockchain exige que les utilisateurs améliorent continuellement leur sensibilisation à la sécurité et évitent d'être trompés. Pour plus de connaissances en matière de sécurité, il est recommandé de lire le « Blockchain Dark Forest Self-Rescue Handbook » produit par l'équipe de sécurité SlowMist : https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .