Difícil de se proteger: análise falsa de phishing do aplicativo Skype

Por: Yao
fundoIncidentes de phishing de aplicativos falsos são muito frequentes no mundo Web3, e a equipe de segurança do SlowMist também publicou artigos de análise de phishing relacionados antes. Como não há acesso direto ao Google Play na China, muitos usuários muitas vezes optam por pesquisar e baixar diretamente o aplicativo que desejam usar online. No entanto, os tipos de aplicativos falsos inundados na Internet não estão mais limitados a carteiras e exchanges. softwares como Telegram, WhatsApp e Skype também são as áreas mais atingidas.
Recentemente, uma vítima contatou a equipe de segurança do SlowMist. De acordo com sua descrição, ele teve fundos roubados após usar o aplicativo Skype baixado online, então conduzimos uma análise com base na amostra falsa de phishing do Skype fornecida pela vítima.
Análise falsa de aplicativo SkypePrimeiro, analise as informações de assinatura do Skype falso. Geralmente, as informações de assinatura do aplicativo falso possuem conteúdo anormal, que é bem diferente do aplicativo real.
Vemos que as informações de assinatura deste aplicativo falso são relativamente simples, quase sem conteúdo, e o proprietário e o editor são ambos “CN”. Com base nessas informações, pode-se determinar preliminarmente que o grupo de produção de phishing provavelmente é chinês e, com base na data de vigência do certificado de 2023.9.11, também pode-se inferir que o tempo de produção deste aplicativo não é longo. Uma análise mais aprofundada também descobriu que o aplicativo falso usa a versão 8.87.0.403 e o número da versão mais recente do Skype é 8.107.0.215.
Usando a pesquisa do Baidu, encontramos fontes de canal de lançamento de várias versões falsas idênticas do Skype, e as informações de assinatura eram consistentes com as fornecidas pela vítima.
Baixe a versão real 8.87.403 do Skype para comparação de certificados:
Como o certificado do APK é inconsistente, significa que o arquivo APK foi adulterado e pode ter sido injetado código malicioso, então começamos a descompilar e analisar o APK.
“SecShell” é um recurso do APK repleto de reforço do Bangbang. Este também é um método de defesa comum para APPs falsos. Gangues de phishing geralmente embalam APPs falsos para evitar que sejam analisados.
Depois de analisar a versão descompactada, a equipe de segurança do SlowMist descobriu que o aplicativo falso modificou principalmente o okhttp3, uma estrutura de rede comumente usada pelo Android, para realizar várias operações maliciosas. Como o okhttp3 é a estrutura para solicitações de tráfego do Android, todas as solicitações de tráfego passarão pelo okhttp3. lidar.
O okhttp3 modificado primeiro obterá as imagens em cada diretório do dispositivo móvel Android e monitorará se há novas imagens em tempo real.
As imagens obtidas serão eventualmente carregadas na interface de back-end do grupo de phishing via Internet: https://bn-download3.com/api/index/upload.
Por meio da plataforma de mapeamento de ativos do Weibu Online, foi descoberto que o nome de domínio de back-end de phishing “bn-download3.com” estava se passando por Binance Exchange em 23.11.2022 e não começou a se passar por nome de domínio de back-end do Skype até 23.05.2023:
Uma análise mais aprofundada descobriu que “bn-download[número]” é um nome de domínio falso usado pelo grupo de phishing especificamente para phishing Binance, o que mostra que este grupo de phishing é um infrator reincidente e tem como alvo específico o Web3.
Ao analisar o tráfego de pacotes de solicitação de rede, após executar e abrir o falso Skype, o okhttp3 modificado começará a solicitar permissões como acesso a álbuns de arquivos. Como os aplicativos sociais exigem transferência de arquivos, chamadas telefônicas, etc., os usuários comuns não desconfiam desses comportamentos. Depois de obter permissões de usuário, o falso Skype começou imediatamente a enviar fotos, informações do dispositivo, ID de nome de usuário, número de celular e outras informações para o backend:
Através da análise da camada de tráfego, o celular do dispositivo testado possui 3 fotos, então podemos ver que há 3 solicitações de upload no tráfego.
No início da operação, o falso Skype também solicitará a lista USDT da interface (https://bn-download3.com/api/index/get_usdt_list2?channel=605), mas durante a análise, constatou-se que o servidor retornou uma lista vazia:
Seguindo o código, descobrimos que o Skype falso monitorará se as mensagens correspondentes enviadas e recebidas contêm strings de formato de endereço do tipo TRX e ETH. Se corresponderem, serão automaticamente substituídas pelo endereço malicioso predefinido pelo grupo de phishing:
Os endereços maliciosos relevantes são os seguintes:
TRX:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH:
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Além do endereço codificado, o Skype falso também obtém dinamicamente o endereço malicioso por meio da interface "https://bn-download8.com/api/index/reqaddV2".
Atualmente, ao testar o endereço falso do Skype para enviar para outra conta, verifica-se que a substituição do endereço não é mais realizada e a interface de back-end da interface de phishing foi fechada para retornar o endereço malicioso.
Neste ponto da análise, combinado com o nome de domínio de phishing, o caminho da interface e a data e hora do backend do site, nós o vinculamos à falsa análise do aplicativo Binance “Li Kui ou Li Gui” lançada em 8 de novembro de 2022? Fake Binance APP Phishing Analysis", após análise descobriu-se que os dois incidentes foram cometidos pela mesma gangue de phishing.
Mais nomes de domínio de phishing foram descobertos por meio da verificação reversa de nomes de domínio de IP.
Análise de endereço maliciosoA equipe de segurança do SlowMist bloqueou imediatamente o endereço malicioso após analisá-lo. Portanto, a pontuação de risco atual dos endereços acima é de 100 pontos, o que é um risco sério.
Usando a análise MistTrack, descobriu-se que o endereço da cadeia TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) recebeu um total de aproximadamente 192.856 USDT e 110 transações de depósito. Ainda há algum saldo neste endereço, e a transação mais recente foi em 8 de novembro.
Continuando a acompanhar os registos de levantamentos, descobrimos que a maior parte dos fundos tinha sido transferida em lotes.
Continue usando o MistTrack para analisar o endereço da cadeia ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). Este endereço recebeu um total de aproximadamente 7.800 USDT, com 10 transações de depósito.
Continuando a análise, descobrimos que a maior parte dos fundos foi transferida através do Swap do BitKeep, e a fonte da taxa de manuseio foi OKX.
ResumirO canal de phishing compartilhado desta vez foi implementado por meio de aplicativos de software social falsos, e a equipe de segurança do SlowMist também divulgou muitos casos semelhantes. Comportamentos comuns de aplicativos falsos incluem upload de imagens de arquivos de telefones celulares, upload de dados que podem conter informações confidenciais do usuário e substituição maliciosa de conteúdo de transmissão de rede, como modificar o endereço de destino das transferências de carteira neste artigo. Este método é comum em Telegram falsos e. aplicativos de troca falsos.
Os usuários ainda precisam confirmar com diversas partes ao baixar e usar APPs, e procurar canais oficiais de download para evitar baixar APPs maliciosos e causar perdas financeiras. O mundo da floresta escura blockchain exige que os usuários melhorem continuamente sua consciência de segurança e evitem ser enganados. Para obter mais conhecimentos de segurança, é recomendável ler o "Blockchain Dark Forest Self-Rescue Handbook" produzido pela equipe de segurança SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.