投稿者: ヤオ

背景

Web3 の世界では偽アプリのフィッシング事件が非常に頻繁に発生しており、SlowMist セキュリティ チームも以前に関連するフィッシング分析記事を公開しています。中国ではGoogle Playに直接アクセスできないため、多くのユーザーは使いたいアプリをオンラインで直接検索してダウンロードすることが多いですが、インターネット上に氾濫する偽アプリの種類はウォレットや取引所にとどまりません。 Telegram、WhatsApp、Skype などのソフトウェアも最も大きな被害を受けている分野です。

最近、被害者から SlowMist セキュリティ チームに連絡があり、被害者の説明によると、オンラインでダウンロードした Skype アプリを使用した後に資金が盗まれたとのことだったので、被害者から提供された偽の Skype フィッシング サンプルに基づいて分析を実施しました。

偽のSkypeアプリ分析

まず、偽の Skype の署名情報を分析しますが、一般に、偽のアプリの署名情報は、本物のアプリとは大きく異なる異常な内容を持っています。

この偽アプリの署名情報は比較的単純で、内容はほとんどなく、所有者と発行者は両方とも「CN」であることがわかります。この情報に基づいて、フィッシング制作グループは中国人である可能性が高いと事前に判断でき、証明書の発効日が 2023.9.11 であることから、このアプリの制作期間は長くないと推測できます。さらに分析した結果、偽アプリはバージョン 8.87.0.403 を使用しており、Skype の最新バージョン番号は 8.107.0.215 であることも判明しました。

Baidu 検索を使用して、複数の同一の偽の Skype バージョンのリリース チャネル ソースを発見しました。また、署名情報は被害者が提供したものと一致していました。

証明書を比較するには、Skype の実際のバージョン 8.87.403 をダウンロードします。

APK の証明書に一貫性がないということは、APK ファイルが改ざんされ、悪意のあるコードが挿入された可能性があることを意味するため、APK の逆コンパイルと分析を開始しました。

「SecShell」はバンバン強化を詰め込んだAPKの機能で、偽APPの一般的な防御方法でもあり、フィッシング詐欺団は解析を防ぐために偽APPを詰め込むことがよくあります。

解凍されたバージョンを分析した結果、SlowMist セキュリティ チームは、偽アプリが主に Android で一般的に使用されているネットワーク フレームワークである okhttp3 を変更して、さまざまな悪意のある操作を実行していることを発見しました。okhttp3 は Android トラフィック リクエストのフレームワークであるため、すべてのトラフィック リクエストは okhttp3 を経由します。扱うこと。

修正された okhttp3 は、まず Android モバイル デバイスの各ディレクトリ内の画像を取得し、新しい画像があるかどうかをリアルタイムで監視します。

取得された写真は、最終的にインターネット経由でフィッシング グループのバックエンド インターフェイス (https://bn-download3.com/api/index/upload) にアップロードされます。

Weibu Online のアセット マッピング プラットフォームを通じて、フィッシング バックエンド ドメイン名「bn-download3.com」が 2022 年 11 月 23 日に Binance Exchange になりすまし、Skype のバックエンド ドメイン名になりすまし始めたのは 2023 年 5 月 23 日でした。

さらなる分析により、「bn-download[number]」はフィッシング グループが特に Binance フィッシングに使用する偽のドメイン名であることが判明しました。これは、このフィッシング グループが常習犯であり、特に Web3 をターゲットにしていることを示しています。

ネットワーク要求のパケット トラフィックを分析することにより、偽の Skype を実行して開いた後、改変された okhttp3 はファイル アルバムへのアクセスなどの許可の申請を開始します。ソーシャル アプリではファイル転送や通話などが必要なため、平均的なユーザーはこれらの動作を警戒しません。ユーザーの許可を取得した後、偽の Skype はすぐに写真、デバイス情報、ユーザー名 ID、携帯電話番号、その他の情報をバックエンドにアップロードし始めました。

トラフィック レイヤー分析により、テストされたデバイスの携帯電話には 3 つの写真があるため、トラフィック内に 3 つのアップロード リクエストがあることがわかります。

操作の開始時に、偽の Skype もインターフェイス (https://bn-download3.com/api/index/get_usdt_list2?channel=605) から USDT リストを要求しますが、分析中に、サーバーが空のリストを返しました。:

コードを追跡すると、偽の Skype が、送受信された一致するメッセージに TRX および ETH タイプのアドレス形式文字列が含まれているかどうかを監視し、一致した場合は、フィッシング グループが事前に設定した悪意のあるアドレスに自動的に置き換えられることがわかりました。

関連する悪意のあるアドレスは次のとおりです。

送信:

TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB

TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP

イーサリアム:

0xF90acFBe580F58f912F557B444bA1bf77053fc03

0x03d65A25Db71C228c4BD202C4d6DbF06f772323A

偽の Skype は、ハードコーディングされたアドレスに加えて、インターフェイス「https://bn-download8.com/api/index/reqaddV2」を通じて悪意のあるアドレスも動的に取得します。

現在、偽の Skype アドレスを別のアカウントに送信するテストを行ったところ、アドレスの置換は実行されなくなり、フィッシング インターフェイスのバックエンド インターフェイスが閉じられて悪意のあるアドレスが返されたことが判明しました。

分析のこの時点で、フィッシング ドメイン名、Web サイト バックエンドのインターフェイス パスと日時を組み合わせると、2022 年 11 月 8 日にリリースされた偽の Binance アプリ分析「李逵または李逹」にリンクされています。 Fake Binance APP Phishing Analysis」で分析した結果、この 2 つの事件は実際には同じフィッシング集団によって実行されたことが判明しました。

IP リバース ドメイン名チェックにより、さらに多くのフィッシング ドメイン名が発見されました。

悪意のあるアドレスの分析

SlowMist セキュリティ チームは、悪意のあるアドレスを分析した後、直ちにブロックしたため、上記のアドレスの現在のリスク スコアは 100 ポイントであり、深刻なリスクです。

MistTrack 分析を使用したところ、TRON チェーン アドレス (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) が合計約 192,856 USDT と 110 件の入金トランザクションを受け取ったことが判明しました。このアドレスにはまだ残高があり、最新の取引は 11 月 8 日でした。

出金記録の追跡を続けたところ、資金のほとんどが一括して送金されていたことが判明しました。

引き続き MistTrack を使用して ETH チェーン アドレス (0xF90acFBe580F58f912F557B444bA1bf77053fc03) を分析します。このアドレスは 10 件の入金トランザクションで合計約 7,800 USDT を受け取りました。すべての資金は転送されました。最新のトランザクションは 7 月 11 日でした。

分析を続けると、資金のほとんどが BitKeep のスワップを通じて送金され、手数料の出所は OKX であることがわかりました。

要約する

今回共有されたフィッシングチャネルは偽のソーシャルソフトウェアアプリを通じて実装されており、SlowMistセキュリティチームも同様の事例を多数明らかにしている。偽アプリの一般的な動作には、携帯電話からのファイル写真のアップロード、ユーザーの機密情報が含まれる可能性のあるデータのアップロード、ネットワーク送信コンテンツの悪意のある置き換え (この記事のウォレット転送の宛先アドレスの変更など) が含まれます。偽の交換アプリ。

ユーザーは、悪意のある APP をダウンロードして経済的損失を引き起こすことを避けるために、APP をダウンロードして使用するときに複数の関係者に確認し、公式のダウンロード チャネルを探す必要があります。ブロックチェーンの暗い森の世界では、ユーザーはセキュリティ意識を継続的に向上させ、だまされないようにする必要があります。セキュリティに関する詳しい知識については、SlowMist セキュリティ チームが作成した「Blockchain Dark Forest Self-Rescue Handbook」を読むことをお勧めします: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md 。