Hackers chineses usam aplicativo falso do Skype para atingir usuários de criptomoedas em novo golpe de phishing

Um novo golpe de phishing surgiu na China que usa um aplicativo de vídeo falso do Skype para atingir usuários de criptomoedas.
De acordo com um relatório da empresa de análise de segurança de criptomoedas SlowMist, os hackers chineses por trás do golpe de phishing usaram a proibição da China de aplicativos internacionais como base para sua fraude, com muitos usuários do continente frequentemente procurando por esses aplicativos proibidos por meio de plataformas de terceiros.
Aplicativos de mídia social como Telegram, WhatsApp e Skype são alguns dos aplicativos mais procurados por usuários do continente, então os golpistas costumam usar essa vulnerabilidade para atacá-los com aplicativos falsos e clonados contendo malware desenvolvido para atacar carteiras de criptomoedas.
Resultados de pesquisa do Baidu para Skype. Fonte: Baidu
Em sua análise, a equipe do SlowMist descobriu que o aplicativo falso do Skype criado recentemente exibia a versão 8.87.0.403, enquanto a versão oficial mais recente do Skype é 8.107.0.215. A equipe também descobriu que o domínio de back-end de phishing “bn-download3.com” personificou a exchange Binance em 23 de novembro de 2022, mudando posteriormente para imitar um domínio de back-end do Skype em 23 de maio de 2023. O aplicativo falso do Skype foi relatado pela primeira vez por um usuário que perdeu “uma quantia significativa de dinheiro” no mesmo golpe.
A assinatura do aplicativo falso revelou que ele havia sido adulterado para inserir malware. Após descompilar o aplicativo, a equipe de segurança descobriu uma estrutura de rede Android modificada comumente usada, "okhttp3", para atingir usuários de criptografia. A estrutura okhttp3 padrão lida com solicitações de tráfego do Android, mas o okhttp3 modificado obtém imagens de vários diretórios no telefone e monitora quaisquer novas imagens em tempo real.
O malicioso okhttp3 solicita que os usuários deem acesso a arquivos e imagens internas, e como a maioria dos aplicativos de mídia social pede essas permissões de qualquer maneira, eles geralmente não suspeitam de nenhuma irregularidade. Assim, o falso Skype imediatamente começa a carregar imagens, informações do dispositivo, ID do usuário, número de telefone e outras informações para o back-end.
Uma vez que o aplicativo falso tem acesso, ele procura continuamente por imagens e mensagens com strings de formato de endereço semelhantes a Tron (TRX) e Ether (ETH). Se tais endereços forem detectados, eles são automaticamente substituídos por endereços maliciosos predefinidos pela gangue de phishing.
Back-end falso do aplicativo Skype. Fonte: Slowmist
Durante os testes do SlowMist, foi descoberto que a substituição do endereço da carteira havia parado, com o backend da interface de phishing desligado e não retornando mais endereços maliciosos.
A equipe também descobriu que um endereço de cadeia Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) recebeu aproximadamente 192.856 Tether (USDT) até 8 de novembro, com um total de 110 transações feitas para o endereço. Ao mesmo tempo, outro endereço de cadeia ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) recebeu aproximadamente 7.800 USDT em 10 transações.
A equipe SlowMist sinalizou e colocou na lista negra todos os endereços de carteira vinculados ao golpe.
Revista: Sacrifício de US$ 1 bilhão em criptomoedas da Tailândia, prazo final do Mt. Gox, aplicativo NFT da Tencent rejeitado