Gli hacker cinesi utilizzano l'app Skype falsa per prendere di mira gli utenti crittografici in una nuova truffa di phishing

In Cina è emersa una nuova truffa di phishing che utilizza una falsa app video Skype per prendere di mira gli utenti di criptovalute.
Secondo un rapporto della società di analisi di sicurezza crittografica SlowMist, gli hacker cinesi dietro la truffa di phishing hanno utilizzato il divieto cinese di applicazioni internazionali come base per la loro frode, con molti utenti continentali che spesso cercano queste applicazioni vietate tramite piattaforme di terze parti.
Le applicazioni di social media come Telegram, WhatsApp e Skype sono alcune delle applicazioni più comuni ricercate dagli utenti della Cina continentale, quindi i truffatori spesso utilizzano questa vulnerabilità per colpirli con applicazioni false e clonate contenenti malware sviluppato per attaccare i portafogli crittografici.
 Risultati della ricerca Baidu per Skype. Fonte: Baidu
Nella sua analisi, il team di SlowMist ha scoperto che la falsa applicazione Skype creata di recente mostrava la versione 8.87.0.403, mentre l'ultima versione ufficiale di Skype è 8.107.0.215. Il team ha anche scoperto che il dominio back-end di phishing "bn-download3.com" si spacciava per l'exchange Binance il 23 novembre 2022, per poi modificarsi per imitare un dominio back-end Skype il 23 maggio 2023. La falsa app Skype era segnalato per la prima volta da un utente che ha perso "una notevole quantità di denaro" a causa della stessa truffa.
La firma dell’app falsa rivelava che era stata manomessa per inserire malware. Dopo aver decompilato l'app, il team di sicurezza ha scoperto un framework di rete Android comunemente utilizzato, "okhttp3", modificato per prendere di mira gli utenti crittografici. Il framework okhttp3 predefinito gestisce le richieste di traffico Android, ma okhttp3 modificato ottiene immagini da varie directory sul telefono e monitora eventuali nuove immagini in tempo reale.
Il malevolo okhttp3 richiede agli utenti di concedere l'accesso a file e immagini interni e, poiché la maggior parte delle applicazioni di social media richiedono comunque queste autorizzazioni, spesso non sospettano alcun illecito. Pertanto, il falso Skype inizia immediatamente a caricare immagini, informazioni sul dispositivo, ID utente, numero di telefono e altre informazioni sul back-end.
Una volta che l'app falsa ha avuto accesso, cerca continuamente immagini e messaggi con stringhe di formato di indirizzo simili a Tron (TRX) ed Ether (ETH). Se tali indirizzi vengono rilevati, vengono automaticamente sostituiti con indirizzi dannosi preimpostati dal gruppo di phishing.
 Backend dell'app Skype falso. Fonte: Slowmist
Durante i test di SlowMist, è stato riscontrato che la sostituzione dell’indirizzo del portafoglio si era interrotta, con il backend dell’interfaccia di phishing spento e che non restituiva più indirizzi dannosi.
Il team ha anche scoperto che l'indirizzo di una catena Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) aveva ricevuto circa 192.856 Tether (USDT) entro l'8 novembre, con un totale di 110 transazioni effettuate verso quell'indirizzo. Allo stesso tempo, un altro indirizzo della catena ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) ha ricevuto circa 7.800 USDT in 10 transazioni.
Il team di SlowMist ha contrassegnato e inserito nella lista nera tutti gli indirizzi dei portafogli collegati alla truffa.
Rivista: sacrificio crittografico da 1 miliardo di dollari della Thailandia, scadenza finale di Mt. Gox, app Tencent NFT annullata