Chińscy hakerzy wykorzystują fałszywą aplikację Skype do atakowania użytkowników kryptowalut w nowym oszustwie phishingowym

W Chinach pojawił się nowy atak phishingowy, polegający na wykorzystaniu fałszywej aplikacji wideo Skype w celu namierzania użytkowników kryptowalut.
Według raportu firmy analitycznej ds. bezpieczeństwa kryptowalut SlowMist chińscy hakerzy stojący za oszustwem phishingowym wykorzystali jako podstawę oszustwa zakaz międzynarodowych aplikacji wprowadzony przez Chiny, a wielu użytkowników z Chin kontynentalnych często wyszukiwało te zablokowane aplikacje za pośrednictwem platform stron trzecich.
Aplikacje mediów społecznościowych, takie jak Telegram, WhatsApp i Skype, należą do najpopularniejszych aplikacji wyszukiwanych przez użytkowników z Chin kontynentalnych, dlatego oszuści często wykorzystują tę lukę w zabezpieczeniach, aby atakować ich fałszywymi, sklonowanymi aplikacjami zawierającymi złośliwe oprogramowanie przeznaczone do atakowania portfeli kryptowalut.
Wyniki wyszukiwania Baidu dla Skype. Źródło: Baidu
W swojej analizie zespół SlowMist odkrył, że niedawno utworzona fałszywa aplikacja Skype wyświetlała wersję 8.87.0.403, podczas gdy najnowsza oficjalna wersja Skype'a to 8.107.0.215. Zespół odkrył również, że domena zaplecza phishingowego „bn-download3.com” podszywała się pod giełdę Binance 23 listopada 2022 r., a później zmieniła się, aby naśladować domenę zaplecza Skype'a 23 maja 2023 r. Fałszywa aplikacja Skype została po raz pierwszy zgłoszona przez użytkownika, który stracił „znaczną ilość pieniędzy” w wyniku tego samego oszustwa.
Podpis fałszywej aplikacji ujawnił, że została ona zmodyfikowana w celu wstawienia złośliwego oprogramowania. Po dekompilacji aplikacji zespół ds. bezpieczeństwa odkrył zmodyfikowany powszechnie używany framework sieciowy Androida, „okhttp3”, który miał na celu atakowanie użytkowników kryptowalut. Domyślny framework okhttp3 obsługuje żądania ruchu Androida, ale zmodyfikowany okhttp3 pobiera obrazy z różnych katalogów w telefonie i monitoruje wszelkie nowe obrazy w czasie rzeczywistym.
Złośliwy okhttp3 żąda od użytkowników dostępu do wewnętrznych plików i obrazów, a ponieważ większość aplikacji mediów społecznościowych i tak prosi o te uprawnienia, często nie podejrzewają żadnych nieprawidłowości. W związku z tym fałszywy Skype natychmiast zaczyna przesyłać obrazy, informacje o urządzeniu, identyfikator użytkownika, numer telefonu i inne informacje do zaplecza.
Gdy fałszywa aplikacja uzyska dostęp, nieustannie szuka obrazów i wiadomości z ciągami adresów w formacie Tron (TRX) i Ether (ETH). Jeśli takie adresy zostaną wykryte, są one automatycznie zastępowane złośliwymi adresami wstępnie ustawionymi przez gang phishingowy.
Fałszywy back-end aplikacji Skype. Źródło: Slowmist
Podczas testów SlowMist odkryto, że podmiana adresów portfela została zatrzymana, a zaplecze interfejsu phishingowego zostało wyłączone i nie zwraca już złośliwych adresów.
Zespół odkrył również, że adres łańcucha Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) otrzymał około 192 856 Tether (USDT) do 8 listopada, przy czym wykonano łącznie 110 transakcji na ten adres. W tym samym czasie inny adres łańcucha ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) otrzymał około 7800 USDT w 10 transakcjach.
Zespół SlowMist oznaczył i umieścił na czarnej liście wszystkie adresy portfeli powiązane z oszustwem.
Magazyn: Kryptowalutowa ofiara Tajlandii w wysokości 1 mld USD, ostateczny termin Mt. Gox, odrzucona aplikacja Tencent NFT