Difficile difendersi: analisi di phishing dell'app Skype falsa

Da: yao
sfondoGli incidenti di phishing di app false sono molto frequenti nel mondo Web3 e il team di sicurezza di SlowMist ha anche pubblicato in precedenza articoli di analisi di phishing correlati. Poiché in Cina non esiste un accesso diretto a Google Play, molti utenti spesso scelgono di cercare e scaricare direttamente l'app che desiderano utilizzare online. Tuttavia, i tipi di app false inondate su Internet non si limitano più ai portafogli e agli scambi social Anche i software come Telegram, WhatsApp e Skype sono i settori più colpiti.
Di recente, una vittima ha contattato il team di sicurezza di SlowMist. Secondo la sua descrizione, gli sono stati rubati dei fondi dopo aver utilizzato l'app Skype scaricata online, quindi abbiamo condotto un'analisi basata sul falso campione di phishing Skype fornito dalla vittima.
Analisi dell'app Skype falsaInnanzitutto, analizza le informazioni sulla firma del falso Skype In genere, le informazioni sulla firma dell'app falsa hanno un contenuto anomalo, che è molto diverso dall'app reale.
Vediamo che le informazioni sulla firma di questa app falsa sono relativamente semplici, quasi senza contenuto, e il proprietario e l'editore sono entrambi "CN". Sulla base di queste informazioni si può preliminarmente stabilire che il gruppo di produzione del phishing dovrebbe essere cinese e, in base alla data di entrata in vigore del certificato 2023.9.11, si può anche dedurre che il tempo di produzione di questa app non è lungo. Ulteriori analisi hanno inoltre scoperto che l'app falsa utilizza la versione 8.87.0.403 e che l'ultimo numero di versione di Skype è 8.107.0.215.
Utilizzando la ricerca Baidu, abbiamo trovato le fonti del canale di rilascio di più versioni false di Skype identiche e le informazioni sulla firma erano coerenti con quelle fornite dalla vittima.
Scarica la versione reale 8.87.403 di Skype per il confronto dei certificati:
Poiché il certificato dell'APK è incoerente, significa che il file APK è stato manomesso e potrebbe essere stato iniettato codice dannoso, quindi abbiamo iniziato a decompilare e analizzare l'APK.
"SecShell" è una funzionalità dell'APK ricca di rinforzi Bangbang. Questo è anche un metodo di difesa comune per le APP false che spesso confezionano APP false per impedirne l'analisi.
Dopo aver analizzato la versione decompressa, il team di sicurezza di SlowMist ha scoperto che l'app falsa ha principalmente modificato okhttp3, un framework di rete comunemente utilizzato da Android, per eseguire varie operazioni dannose. Poiché okhttp3 è il framework per le richieste di traffico Android, tutte le richieste di traffico passeranno attraverso okhttp3 gestire.
L'okhttp3 modificato otterrà innanzitutto le immagini in ciascuna directory del dispositivo mobile Android e controllerà se ci sono nuove immagini in tempo reale.
Le immagini ottenute verranno infine caricate sull'interfaccia backend del gruppo di phishing tramite Internet: https://bn-download3.com/api/index/upload.
Attraverso la piattaforma di mappatura delle risorse di Weibu Online, è stato scoperto che il nome di dominio backend di phishing "bn-download3.com" si era spacciato per Binance Exchange il 23.11.2022 e non ha iniziato a spacciarsi per nome di dominio backend di Skype fino al 23.05.2023:
Ulteriori analisi hanno scoperto che "bn-download[numero]" è un nome di dominio falso utilizzato dal gruppo di phishing appositamente per il phishing su Binance, il che dimostra che questo gruppo di phishing è un recidivo e prende di mira specificamente Web3.
Analizzando il traffico dei pacchetti di richieste di rete, dopo aver eseguito e aperto il falso Skype, okhttp3 modificato inizierà a richiedere autorizzazioni come l'accesso agli album di file. Poiché le app social richiedono il trasferimento di file, telefonate, ecc., gli utenti medi non sono diffidenti nei confronti di questi comportamenti. Dopo aver ottenuto le autorizzazioni dell'utente, il falso Skype ha immediatamente iniziato a caricare immagini, informazioni sul dispositivo, ID nome utente, numero di cellulare e altre informazioni sul backend:
Attraverso l'analisi del livello di traffico, il telefono cellulare testato ha 3 immagini, quindi possiamo vedere che ci sono 3 richieste di caricamento nel traffico.
All'inizio dell'operazione, il finto Skype richiederà anche la lista USDT dall'interfaccia (https://bn-download3.com/api/index/get_usdt_list2?channel=605), ma durante l'analisi è emerso che la il server ha restituito un elenco vuoto:
Seguendo il codice, abbiamo scoperto che il falso Skype monitorerà se i messaggi corrispondenti inviati e ricevuti contengono stringhe di formato dell'indirizzo di tipo TRX ed ETH. Se abbinati, verranno automaticamente sostituiti con l'indirizzo dannoso preimpostato dal gruppo di phishing:
Gli indirizzi dannosi rilevanti sono i seguenti:
TRX:
TJhqKzGQ3LzT9ih53GioiaAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH: 
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Oltre all'indirizzo hardcoded, il falso Skype ottiene dinamicamente anche l'indirizzo dannoso attraverso l'interfaccia "https://bn-download8.com/api/index/reqaddV2".
Attualmente, durante il test del falso indirizzo Skype da inviare a un altro account, si scopre che la sostituzione dell'indirizzo non viene più eseguita e l'interfaccia backend dell'interfaccia di phishing è stata chiusa per restituire l'indirizzo dannoso.
A questo punto dell'analisi, combinato con il nome del dominio di phishing, il percorso dell'interfaccia e la data e l'ora del backend del sito web, lo abbiamo collegato alla falsa analisi dell'app Binance "Li Kui o Li Gui" rilasciata l'8 novembre 2022? Fake Binance APP Phishing Analysis", dopo l'analisi si è scoperto che i due incidenti sono stati effettivamente commessi dalla stessa banda di phishing.
Altri nomi di dominio di phishing sono stati scoperti tramite il controllo del nome di dominio inverso IP.
Analisi degli indirizzi dannosiIl team di sicurezza di SlowMist ha immediatamente bloccato l'indirizzo dannoso dopo averlo analizzato. Pertanto, l'attuale punteggio di rischio degli indirizzi sopra indicati è di 100 punti, il che è un rischio serio.
Utilizzando l'analisi MistTrack, si è scoperto che l'indirizzo della catena TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) ha ricevuto un totale di circa 192.856 USDT e 110 transazioni di deposito. C'è ancora del saldo in questo indirizzo e la transazione più recente è avvenuta l'8 novembre.
Continuando a monitorare i registri dei prelievi, abbiamo scoperto che la maggior parte dei fondi erano stati trasferiti in lotti.
Continua a utilizzare MistTrack per analizzare l'indirizzo della catena ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). Questo indirizzo ha ricevuto un totale di circa 7.800 USDT, con 10 transazioni di deposito. Tutti i fondi sono stati trasferiti.
Continuando l'analisi, abbiamo scoperto che la maggior parte dei fondi sono stati trasferiti tramite lo Swap di BitKeep e che la fonte della commissione di gestione era OKX.
RiassumereIl canale di phishing condiviso questa volta è stato implementato tramite false app di social software e anche il team di sicurezza di SlowMist ha rivelato molti casi simili. I comportamenti comuni delle app false includono il caricamento di immagini di file da telefoni cellulari, il caricamento di dati che potrebbero contenere informazioni sensibili dell'utente e la sostituzione dannosa del contenuto della trasmissione di rete, come la modifica dell'indirizzo di destinazione dei trasferimenti del portafoglio in questo articolo. Questo metodo è comune nel falso Telegram e app di scambio false.
Gli utenti devono comunque verificare con più parti durante il download e l'utilizzo delle APP e cercare canali di download ufficiali per evitare di scaricare APP dannose e causare perdite finanziarie. Il mondo della foresta oscura blockchain richiede agli utenti di migliorare continuamente la propria consapevolezza della sicurezza ed evitare di essere ingannati. Per maggiori conoscenze sulla sicurezza, si consiglia di leggere il "Manuale di autosalvataggio Blockchain Dark Forest" prodotto dal team di sicurezza SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .