Peretas Tiongkok Menggunakan Aplikasi Skype Palsu untuk Menargetkan Pengguna Kripto dalam Penipuan Phishing Baru

Penipuan phishing baru telah muncul di Tiongkok yang menggunakan aplikasi video Skype palsu untuk menargetkan pengguna kripto.
Menurut laporan yang dibuat oleh firma analisis keamanan kripto SlowMist, peretas Tiongkok di balik penipuan phishing menggunakan larangan Tiongkok terhadap aplikasi internasional sebagai dasar penipuan mereka, dengan banyak pengguna di Tiongkok daratan sering mencari aplikasi terlarang ini melalui platform pihak ketiga.
Aplikasi media sosial seperti Telegram, WhatsApp, dan Skype adalah beberapa aplikasi yang paling umum dicari oleh pengguna daratan, sehingga penipu sering kali menggunakan kerentanan ini untuk menargetkan mereka dengan aplikasi kloning palsu yang berisi malware yang dikembangkan untuk menyerang dompet kripto.
 Hasil pencarian Baidu untuk Skype. Sumber: Baidu
Dalam analisisnya, tim SlowMist menemukan bahwa aplikasi Skype palsu yang baru dibuat menampilkan versi 8.87.0.403, sedangkan versi resmi Skype terbaru adalah 8.107.0.215. Tim juga menemukan bahwa domain back-end phishing “bn-download3.com” meniru pertukaran Binance pada 23 November 2022, kemudian berubah menjadi domain back-end Skype pada 23 Mei 2023. Aplikasi Skype palsu tersebut adalah pertama kali dilaporkan oleh pengguna yang kehilangan “sejumlah besar uang” karena penipuan yang sama.
Tanda tangan aplikasi palsu tersebut mengungkapkan bahwa aplikasi tersebut telah dirusak untuk memasukkan malware. Setelah mendekompilasi aplikasi, tim keamanan menemukan kerangka jaringan Android yang umum digunakan dan dimodifikasi, “okhttp3,” untuk menargetkan pengguna kripto. Kerangka kerja okhttp3 default menangani permintaan lalu lintas Android, tetapi okhttp3 yang dimodifikasi memperoleh gambar dari berbagai direktori di ponsel dan memantau gambar baru secara real-time.
Okhttp3 yang berbahaya meminta pengguna untuk memberikan akses ke file dan gambar internal, dan karena sebagian besar aplikasi media sosial tetap meminta izin ini, mereka sering kali tidak mencurigai adanya kesalahan. Dengan demikian, Skype palsu segera mulai mengunggah gambar, informasi perangkat, ID pengguna, nomor telepon, dan informasi lainnya ke bagian belakang.
Setelah aplikasi palsu memiliki akses, aplikasi tersebut terus mencari gambar dan pesan dengan string format alamat mirip Tron (TRX) dan Ether (ETH). Jika alamat tersebut terdeteksi, alamat tersebut secara otomatis diganti dengan alamat berbahaya yang telah ditentukan sebelumnya oleh geng phishing.
 Bagian belakang aplikasi Skype palsu. Sumber: Slowmist
Selama pengujian SlowMist, ditemukan bahwa penggantian alamat dompet telah berhenti, dengan back end antarmuka phishing dimatikan dan tidak lagi mengembalikan alamat berbahaya.
Tim juga menemukan bahwa alamat rantai Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) telah menerima sekitar 192,856 Tether (USDT) pada 8 November, dengan total 110 transaksi dilakukan ke alamat tersebut. Pada saat yang sama, alamat rantai ETH lainnya (0xF90acFBe580F58f912F557B444bA1bf77053fc03) menerima sekitar 7,800 USDT dalam 10 transaksi.
Tim SlowMist menandai dan memasukkan semua alamat dompet yang terkait dengan penipuan ke dalam daftar hitam.
Majalah: Pengorbanan kripto senilai $1 miliar di Thailand, batas waktu akhir Mt. Gox, aplikasi Tencent NFT dibatalkan