Oleh: ya

latar belakang

Insiden phishing Aplikasi Palsu sangat sering terjadi di dunia Web3, dan tim keamanan SlowMist juga telah menerbitkan artikel analisis phishing terkait sebelumnya. Karena tidak ada akses langsung ke Google Play di Tiongkok, banyak pengguna sering memilih untuk langsung mencari dan mengunduh Aplikasi yang ingin mereka gunakan secara online. Namun, jenis Aplikasi palsu yang membanjiri Internet tidak lagi terbatas pada dompet dan pertukaran Sosial perangkat lunak seperti Telegram, WhatsApp, dan Skype juga merupakan area yang paling terkena dampaknya.

Baru-baru ini, seorang korban menghubungi tim keamanan SlowMist. Menurut uraiannya, dananya dicuri setelah menggunakan Aplikasi Skype yang diunduh secara online, jadi kami melakukan analisis berdasarkan sampel phishing Skype palsu yang diberikan oleh korban.

Analisis Aplikasi Skype Palsu

Pertama, analisis informasi tanda tangan Skype palsu. Umumnya, informasi tanda tangan Aplikasi palsu memiliki konten yang tidak normal, yang sangat berbeda dengan Aplikasi asli.

Kami melihat bahwa informasi tanda tangan Aplikasi palsu ini relatif sederhana, hampir tanpa konten, dan pemilik serta penerbit keduanya adalah "CN". Berdasarkan informasi ini, dapat ditentukan sebelumnya bahwa kelompok produksi phishing kemungkinan besar berasal dari Tiongkok, dan berdasarkan tanggal efektif sertifikat pada 2023.9.11, juga dapat disimpulkan bahwa waktu produksi Aplikasi ini tidak lama. Analisis lebih lanjut juga menemukan bahwa aplikasi palsu tersebut menggunakan versi 8.87.0.403, dan nomor versi terbaru Skype adalah 8.107.0.215.

Dengan menggunakan pencarian Baidu, kami menemukan sumber saluran rilis dari beberapa versi Skype palsu yang identik, dan informasi tanda tangan konsisten dengan yang diberikan oleh korban.

Unduh Skype versi 8.87.403 asli untuk perbandingan sertifikat:

Karena sertifikat APK tidak konsisten, artinya file APK telah dirusak dan mungkin telah disuntik dengan kode berbahaya, jadi kami mulai mendekompilasi dan menganalisis APK.

“SecShell” adalah fitur APK yang dikemas dengan penguatan Bangbang. Ini juga merupakan metode pertahanan umum untuk APP palsu. Geng phishing sering kali menambahkan lapisan penembakan ke APP palsu untuk mencegahnya dianalisis.

Setelah menganalisis versi yang belum dibongkar, tim keamanan SlowMist menemukan bahwa Aplikasi palsu tersebut sebagian besar memodifikasi okhttp3, kerangka jaringan yang umum digunakan oleh Android, untuk melakukan berbagai operasi jahat. Karena okhttp3 adalah kerangka kerja untuk permintaan lalu lintas Android, semua permintaan lalu lintas akan melalui okhttp3 untuk menangani.

Okhttp3 yang dimodifikasi pertama-tama akan mendapatkan gambar di setiap direktori perangkat seluler Android dan memantau apakah ada gambar baru secara real time.

Gambar yang diperoleh pada akhirnya akan diunggah ke antarmuka backend grup phishing melalui Internet: https://bn-download3.com/api/index/upload.

Melalui platform pemetaan aset Weibu Online, ditemukan bahwa nama domain backend phishing “bn-download3.com” telah meniru Binance Exchange pada 23.11.2022, dan baru mulai meniru sebagai nama domain backend Skype pada 23.05.2023:

Analisis lebih lanjut menemukan bahwa “bn-download[number]” adalah nama domain palsu yang digunakan oleh grup phishing khusus untuk phishing Binance. Hal ini menunjukkan bahwa grup phishing ini adalah pelanggar berulang dan secara khusus menargetkan Web3.

Dengan menganalisis lalu lintas paket permintaan jaringan, setelah menjalankan dan membuka Skype palsu, okhttp3 yang dimodifikasi akan mulai mengajukan izin seperti akses ke album file. Karena aplikasi sosial memerlukan transfer file, panggilan telepon, dll., rata-rata pengguna tidak waspada terhadap perilaku ini. Setelah mendapatkan izin pengguna, Skype palsu segera mulai mengunggah gambar, informasi perangkat, id nama pengguna, nomor ponsel, dan informasi lainnya ke backend:

Melalui analisis lapisan lalu lintas, ponsel perangkat yang diuji memiliki 3 gambar, sehingga terlihat ada 3 permintaan unggahan dalam lalu lintas tersebut.

Pada awal operasi, Skype palsu juga akan meminta daftar USDT dari antarmuka (https://bn-download3.com/api/index/get_usdt_list2?channel=605), tetapi selama analisis, ditemukan bahwa server mengembalikan daftar kosong:

Menindaklanjuti kode tersebut, kami menemukan bahwa Skype palsu akan memantau apakah pesan yang cocok yang dikirim dan diterima berisi string format alamat tipe TRX dan ETH. Jika cocok, maka secara otomatis akan diganti dengan alamat berbahaya yang telah ditetapkan oleh grup phishing:

Alamat berbahaya yang relevan adalah sebagai berikut:

TRX:

TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB

TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP

ETH:

0xF90acFBe580F58f912F557B444bA1bf77053fc03

0x03d65A25Db71C228c4BD202C4d6DbF06f772323A

Selain alamat hard-coded, Skype palsu juga secara dinamis memperoleh alamat berbahaya melalui antarmuka "https://bn-download8.com/api/index/reqaddV2".

Saat ini, saat menguji alamat Skype palsu untuk dikirim ke akun lain, ditemukan bahwa penggantian alamat tidak lagi dilakukan, dan antarmuka backend antarmuka phishing telah ditutup untuk mengembalikan alamat berbahaya.

Pada titik analisis ini, dikombinasikan dengan nama domain phishing, jalur antarmuka, serta tanggal dan waktu backend situs web, kami telah menautkannya ke analisis Aplikasi Binance palsu "Li Kui atau Li Gui" yang dirilis pada 8 November 2022? Analisis Phishing Aplikasi Binance Palsu", setelah dianalisis ditemukan bahwa kedua insiden tersebut sebenarnya dilakukan oleh geng phishing yang sama.

Lebih banyak nama domain phishing ditemukan melalui pemeriksaan nama domain terbalik IP.

Analisis alamat berbahaya

Tim keamanan SlowMist segera memblokir alamat berbahaya tersebut setelah menganalisisnya. Oleh karena itu, skor risiko saat ini dari alamat di atas adalah 100 poin, yang merupakan risiko serius.

Dengan menggunakan analisis MistTrack, ditemukan bahwa alamat rantai TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) telah menerima total sekitar 192,856 USDT dan 110 transaksi deposit. Masih ada sisa saldo di alamat ini, dan transaksi terakhir dilakukan pada tanggal 8 November.

Melanjutkan pelacakan catatan penarikan, kami menemukan bahwa sebagian besar dana telah ditransfer secara berkelompok.

Lanjutkan menggunakan MistTrack untuk menganalisis alamat rantai ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). Alamat ini telah menerima total sekitar 7,800 USDT, dengan 10 transaksi deposit. Semua dana telah ditransfer.

Melanjutkan analisis, kami menemukan bahwa sebagian besar dana ditransfer melalui Swap BitKeep, dan sumber biaya penanganannya adalah OKX.

Meringkaskan

Saluran phishing yang dibagikan kali ini diterapkan melalui aplikasi perangkat lunak sosial palsu, dan tim keamanan SlowMist juga telah mengungkap banyak kasus serupa. Perilaku umum aplikasi palsu termasuk mengunggah gambar file dari ponsel, mengunggah data yang mungkin berisi informasi sensitif pengguna, dan secara jahat mengganti konten transmisi jaringan, seperti mengubah alamat tujuan transfer dompet dalam artikel ini aplikasi pertukaran palsu.

Pengguna masih perlu melakukan konfirmasi dengan banyak pihak saat mengunduh dan menggunakan Aplikasi, serta mencari saluran pengunduhan resmi untuk menghindari pengunduhan Aplikasi berbahaya dan menyebabkan kerugian finansial. Dunia hutan gelap blockchain mengharuskan pengguna untuk terus meningkatkan kesadaran keamanan mereka dan menghindari penipuan. Untuk pengetahuan keamanan lebih lanjut, disarankan untuk membaca "Buku Panduan Penyelamatan Diri Hutan Gelap Blockchain" yang dibuat oleh Tim Keamanan SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .