Trudno się przed nimi chronić: analiza fałszywego phishingu w aplikacji Skype

Przez: tak
tłoPrzypadki phishingu związane z fałszywymi aplikacjami są bardzo częste w świecie Web3, a zespół ds. bezpieczeństwa SlowMist również publikował już wcześniej powiązane artykuły z analizą phishingu. Ponieważ w Chinach nie ma bezpośredniego dostępu do Google Play, wielu użytkowników często decyduje się na bezpośrednie wyszukiwanie i pobieranie aplikacji, z których chcą korzystać online. Jednak rodzaje fałszywych aplikacji zalewanych w Internecie nie ograniczają się już do portfeli i giełd społecznościowych oprogramowanie takie jak Telegram, WhatsApp i Skype również są obszarami najbardziej dotkniętymi.
Niedawno ofiara skontaktowała się z zespołem ds. bezpieczeństwa SlowMist. Z jej opisu wynika, że ​​skradziono jej środki po pobraniu aplikacji Skype, dlatego przeprowadziliśmy analizę w oparciu o dostarczoną przez ofiarę fałszywą próbkę phishingu przez Skype.
Analiza fałszywej aplikacji SkypeNajpierw przeanalizuj informacje o podpisie fałszywej aplikacji Skype. Ogólnie rzecz biorąc, informacje o podpisie fałszywej aplikacji zawierają nieprawidłową treść, która znacznie różni się od prawdziwej aplikacji.
Widzimy, że informacje o podpisie tej fałszywej aplikacji są stosunkowo proste i prawie nie zawierają treści, a zarówno właściciel, jak i wydawca to „CN”. Na podstawie tych informacji można wstępnie ustalić, że grupą produkcyjną phishingową są prawdopodobnie Chińczycy, a na podstawie daty wejścia w życie certyfikatu 2023.9.11 można również wywnioskować, że czas produkcji tej aplikacji nie jest długi. Dalsza analiza wykazała również, że fałszywa aplikacja używa wersji 8.87.0.403, a najnowszy numer wersji Skype'a to 8.107.0.215.
Korzystając z wyszukiwania Baidu, znaleźliśmy źródła kanałów dystrybucji wielu identycznych fałszywych wersji Skype'a, a informacje w podpisie były zgodne z tymi dostarczonymi przez ofiarę.
Pobierz prawdziwą wersję Skype'a 8.87.403 w celu porównania certyfikatów:
Ponieważ certyfikat pakietu APK jest niespójny, oznacza to, że plik APK został naruszony i mógł zawierać złośliwy kod, dlatego rozpoczęliśmy dekompilację i analizę pliku APK.
„SecShell” to funkcja pakietu APK wyposażona w wzmocnienie Bangbang. Jest to również powszechna metoda ochrony fałszywych aplikacji. Gangi phishingowe często dodają warstwę ostrzału do fałszywych aplikacji, aby uniemożliwić ich analizę.
Po przeanalizowaniu rozpakowanej wersji zespół ds. bezpieczeństwa SlowMist odkrył, że fałszywa aplikacja modyfikowała głównie okhttp3, strukturę sieciową powszechnie używaną w systemie Android, w celu wykonywania różnych złośliwych operacji. Ponieważ okhttp3 jest strukturą dla żądań ruchu w systemie Android, wszystkie żądania ruchu będą przechodzić przez okhttp3 Poradzić sobie.
Zmodyfikowany okhttp3 najpierw pobierze obrazy w każdym katalogu urządzenia mobilnego z Androidem i monitoruje w czasie rzeczywistym, czy są nowe obrazy.
Uzyskane zdjęcia zostaną ostatecznie przesłane do interfejsu zaplecza grupy phishingowej za pośrednictwem Internetu: https://bn-download3.com/api/index/upload.
Za pośrednictwem platformy mapowania zasobów Weibu Online odkryto, że nazwa domeny zaplecza phishingowego „bn-download3.com” podszywała się pod Binance Exchange 23.11.2022 r. i zaczęła podszywać się pod nazwę domeny zaplecza Skype’a dopiero 23.05.2023 r.:
Dalsza analiza wykazała, że ​​„bn-download[numer]” to fałszywa nazwa domeny używana przez grupę phishingową specjalnie do phishingu Binance. Pokazuje to, że ta grupa phishingowa powtarza się i atakuje szczególnie Web3.
Analizując ruch pakietowy żądań sieciowych, po uruchomieniu i otwarciu fałszywego Skype'a, zmodyfikowany okhttp3 zacznie prosić o uprawnienia, takie jak dostęp do albumów plików. Ponieważ aplikacje społecznościowe wymagają przesyłania plików, rozmów telefonicznych itp., przeciętni użytkownicy nie zwracają uwagi na takie zachowania. Po uzyskaniu uprawnień użytkownika fałszywy Skype natychmiast zaczął przesyłać zdjęcia, informacje o urządzeniu, identyfikator nazwy użytkownika, numer telefonu komórkowego i inne informacje do backendu:
Dzięki analizie warstwy ruchu telefon komórkowy testowanego urządzenia ma 3 zdjęcia, więc widzimy, że w ruchu są 3 żądania przesłania.
Na początku operacji fałszywy Skype będzie również żądał z interfejsu listy USDT (https://bn-download3.com/api/index/get_usdt_list2?channel=605), jednak podczas analizy okazało się, że serwer zwrócił pustą listę:
Śledząc kod, odkryliśmy, że fałszywy Skype będzie monitorował, czy wysłane i otrzymane pasujące wiadomości zawierają ciągi znaków w formacie adresu typu TRX i ETH. Jeśli zostaną dopasowane, zostaną automatycznie zastąpione złośliwym adresem ustawionym przez grupę phishingową:
Odpowiednie złośliwe adresy są następujące:
TRX:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH:
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Oprócz zakodowanego na stałe adresu fałszywy Skype dynamicznie uzyskuje także złośliwy adres poprzez interfejs „https://bn-download8.com/api/index/reqaddV2”.
Obecnie podczas testowania fałszywego adresu Skype w celu wysłania go na inne konto okazuje się, że zamiana adresu nie jest już wykonywana, a interfejs zaplecza interfejsu phishingowego został zamknięty w celu zwrócenia szkodliwego adresu.
Na tym etapie analizy, w połączeniu z nazwą domeny phishingowej, ścieżką interfejsu oraz datą i godziną zaplecza witryny, powiązaliśmy to z fałszywą analizą aplikacji Binance „Li Kui or Li Gui” opublikowaną 8 listopada 2022 r.? Fałszywa analiza phishingu aplikacji Binance”, po analizie stwierdzono, że oba incydenty zostały w rzeczywistości popełnione przez ten sam gang phishingowy.
Dzięki sprawdzaniu zwrotnych nazw domen IP wykryto więcej nazw domen phishingowych.
Analiza złośliwego adresuZespół ds. bezpieczeństwa SlowMist po przeanalizowaniu natychmiast zablokował szkodliwy adres. Dlatego obecny wskaźnik ryzyka powyższych adresów wynosi 100 punktów, co stanowi poważne ryzyko.
Korzystając z analizy MistTrack, stwierdzono, że adres łańcucha TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) otrzymał łącznie około 192 856 USDT i 110 transakcji depozytowych. Pod tym adresem jest jeszcze saldo, a ostatnia transakcja miała miejsce 8 listopada.
Kontynuując śledzenie historii wypłat, odkryliśmy, że większość środków została przelana partiami.
Kontynuuj korzystanie z MistTrack do analizy adresu łańcucha ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). Na ten adres wpłynęło łącznie około 7800 USDT z 10 transakcjami depozytowymi. Wszystkie środki zostały przelane 11 lipca.
Kontynuując analizę, odkryliśmy, że większość środków została przelana poprzez Swap BitKeep, a źródłem opłaty manipulacyjnej było OKX.
PodsumowaćUdostępniony tym razem kanał phishingowy został zaimplementowany za pośrednictwem fałszywych aplikacji społecznościowych, a zespół ds. bezpieczeństwa SlowMist również ujawnił wiele podobnych przypadków. Typowe zachowania fałszywych aplikacji obejmują przesyłanie plików zdjęć z telefonów komórkowych, przesyłanie danych, które mogą zawierać poufne informacje o użytkowniku i złośliwe zastępowanie treści transmisji sieciowej, na przykład modyfikowanie adresu docelowego transferów z portfela, o którym mowa w tym artykule. Ta metoda jest powszechna w fałszywych telegramach i fałszywe aplikacje wymiany.
Użytkownicy nadal muszą potwierdzać pobieranie i korzystanie z aplikacji z wieloma stronami oraz szukać oficjalnych kanałów pobierania, aby uniknąć pobierania złośliwych aplikacji i powodowania strat finansowych. Świat ciemnego lasu blockchain wymaga od użytkowników ciągłego podnoszenia swojej świadomości bezpieczeństwa i unikania oszukania. Aby uzyskać więcej wiedzy na temat bezpieczeństwa, zaleca się przeczytanie „Podręcznika samoratowania Blockchain Dark Forest” opracowanego przez zespół ds. bezpieczeństwa SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .