中国で、偽のSkypeビデオアプリを使用して暗号通貨ユーザーを狙う新たなフィッシング詐欺が出現した。

暗号資産セキュリティ分析会社SlowMistのレポートによると、フィッシング詐欺の背後にいる中国のハッカーは、中国による海外アプリケーションの禁止を詐欺の根拠として利用しており、多くの中国本土のユーザーはサードパーティのプラットフォームを介してこれらの禁止されたアプリケーションを検索することが多いという。

Telegram、WhatsApp、Skypeなどのソーシャルメディアアプリケーションは、中国本土のユーザーが検索する最も一般的なアプリケーションの一部であるため、詐欺師は、この脆弱性を利用して、暗号通貨ウォレットを攻撃するために開発されたマルウェアを含む偽のクローンアプリケーションで彼らを標的にすることがよくあります。

Baidu の Skype 検索結果。出典: Baidu

SlowMist チームの分析によると、最近作成された偽の Skype アプリケーションのバージョンは 8.87.0.403 でしたが、Skype の最新の公式バージョンは 8.107.0.215 でした。チームはまた、フィッシング バックエンド ドメイン「bn-download3.com」が 2022 年 11 月 23 日に Binance 取引所を偽装し、その後 2023 年 5 月 23 日に Skype バックエンド ドメインを模倣するように変更されたことも発見しました。偽の Skype アプリは、同じ詐欺で「多額のお金」を失ったユーザーによって最初に報告されました。

偽アプリの署名から、マルウェアを挿入するために改ざんされていたことが判明した。アプリを逆コンパイルした後、セキュリティチームは、暗号通貨ユーザーをターゲットにするために、一般的に使用されている Android ネットワーク フレームワーク「okhttp3」が改変されていることを発見した。デフォルトの okhttp3 フレームワークは Android トラフィック リクエストを処理するが、改変された okhttp3 は、携帯電話のさまざまなディレクトリから画像を取得し、新しい画像をリアルタイムで監視する。

悪意のある okhttp3 は、ユーザーに内部ファイルや画像へのアクセスを要求します。ほとんどのソーシャル メディア アプリケーションは、いずれにしてもこれらの許可を要求するため、不正行為を疑うことはほとんどありません。そのため、偽の Skype は、画像、デバイス情報、ユーザー ID、電話番号、その他の情報をすぐにバックエンドにアップロードし始めます。

偽アプリがアクセスすると、Tron (TRX) や Ether (ETH) のようなアドレス形式の文字列を含む画像やメッセージを継続的に探します。そのようなアドレスが検出されると、フィッシング グループが事前に設定した悪意のあるアドレスに自動的に置き換えられます。

偽の Skype アプリのバックエンド。出典: Slowmist

SlowMist のテスト中に、ウォレット アドレスの置き換えが停止し、フィッシング インターフェイスのバックエンドがシャットダウンされ、悪意のあるアドレスが返されなくなったことが判明しました。

チームはまた、11月8日までにTronチェーンアドレス（TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB）が約192,856 Tether（USDT）を受け取っていて、そのアドレスに対して合計110件のトランザクションが行われたことも発見した。同時に、別のETHチェーンアドレス（0xF90acFBe580F58f912F557B444bA1bf77053fc03）は10件のトランザクションで約7,800 USDTを受け取っていた。

SlowMist チームは、詐欺に関連するすべてのウォレット アドレスにフラグを付け、ブラックリストに登録しました。

雑誌：タイの10億ドルの仮想通貨犠牲、マウントゴックスの最終期限、テンセントのNFTアプリが廃止