Greu de protejat de: analiză falsă de phishing a aplicației Skype

De: yao
fundalIncidentele de phishing cu aplicații false sunt foarte frecvente în lumea Web3, iar echipa de securitate SlowMist a mai publicat articole de analiză legate de phishing. Deoarece nu există acces direct la Google Play în China, mulți utilizatori aleg adesea să caute și să descarce direct aplicația pe care doresc să o utilizeze online software-uri precum Telegram, WhatsApp și Skype sunt, de asemenea, zonele cele mai afectate.
Recent, o victimă a contactat echipa de securitate SlowMist. Conform descrierii sale, i s-au furat fonduri după ce a folosit aplicația Skype descărcată online, așa că am efectuat analize pe baza unui eșantion fals de phishing pe Skype furnizat de victimă.
Analiză falsă a aplicației SkypeMai întâi, analizați informațiile despre semnătura Skype fals În general, informațiile despre semnătura aplicației false au conținut anormal, care este destul de diferit de aplicația reală.
Vedem că informațiile despre semnătura acestei aplicații false sunt relativ simple, aproape fără conținut, iar proprietarul și editorul sunt ambii „CN”. Pe baza acestor informații, se poate determina preliminar că grupul de producție de phishing este probabil să fie chinez și, pe baza datei de intrare în vigoare a certificatului, 2023.9.11, se poate deduce, de asemenea, că timpul de producție a acestei aplicații nu este lung. O analiză ulterioară a constatat, de asemenea, că aplicația falsă folosește versiunea 8.87.0.403, iar cea mai recentă versiune a Skype este 8.107.0.215.
Folosind căutarea Baidu, am găsit sursele canalului de lansare a mai multor versiuni false identice de Skype, iar informațiile despre semnătură erau în concordanță cu cele furnizate de victimă.
Descărcați versiunea reală 8.87.403 a Skype pentru compararea certificatelor:
Deoarece certificatul APK-ului este inconsecvent, înseamnă că fișierul APK a fost manipulat și este posibil să fi fost injectat cu cod rău intenționat, așa că am început să decompilăm și să analizăm APK-ul.
„SecShell” este o caracteristică a APK-ului cu întărire Bangbang. Aceasta este, de asemenea, o metodă de apărare comună pentru APP-urile false, deseori, pentru a preveni analizarea acestora.
După ce a analizat versiunea dezambalată, echipa de securitate SlowMist a constatat că aplicația falsă a modificat în principal okhttp3, un cadru de rețea folosit în mod obișnuit de Android, pentru a efectua diverse operațiuni rău intenționate Deoarece okhttp3 este cadrul pentru solicitările de trafic Android, toate solicitările de trafic vor trece prin okhttp3 a manevra.
Okhttp3 modificat va obține mai întâi imaginile din fiecare director al dispozitivului mobil Android și va monitoriza dacă există imagini noi în timp real.
Imaginile obținute vor fi în cele din urmă încărcate în interfața de backend a grupului de phishing prin Internet: https://bn-download3.com/api/index/upload.
Prin intermediul platformei de cartografiere a activelor Weibu Online, s-a descoperit că numele domeniului backend de phishing „bn-download3.com” a uzurpat identitatea Binance Exchange pe 2022.11.23 și nu a început să se umble ca nume de domeniu backend al Skype până în 2023.05.23:
O analiză ulterioară a constatat că „bn-download[number]” este un nume de domeniu fals folosit de grupul de phishing special pentru phishing Binance. Aceasta arată că acest grup de phishing este un infractor recidiv și vizează în mod specific Web3.
Analizând traficul de pachete de cereri de rețea, după rularea și deschiderea falsului Skype, okhttp3 modificat va începe să se aplice pentru permisiuni precum accesul la albume de fișiere. Deoarece aplicațiile sociale necesită transfer de fișiere, apeluri telefonice etc., utilizatorii medii nu se feresc de aceste comportamente. După obținerea permisiunilor utilizatorului, Skype fals a început imediat să încarce imagini, informații despre dispozitiv, id-ul numelui de utilizator, numărul de telefon mobil și alte informații în backend:
Prin analiza stratului de trafic, telefonul mobil al dispozitivului testat are 3 imagini, astfel că putem vedea că există 3 solicitări de încărcare în trafic.
La începutul operațiunii, falsul Skype va solicita și lista USDT din interfață (https://bn-download3.com/api/index/get_usdt_list2?channel=605), dar în timpul analizei s-a constatat că serverul a returnat o listă goală:
Urmărind codul, am constatat că Skype fals va monitoriza dacă mesajele potrivite trimise și primite conțin șiruri de format de adresă de tip TRX și ETH.
Adresele rău intenționate relevante sunt următoarele:
TRX:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH:
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Pe lângă adresa codificată, falsul Skype obține, de asemenea, în mod dinamic, adresa rău intenționată prin interfața „https://bn-download8.com/api/index/reqaddV2”.
În prezent, la testarea adresei false de Skype pentru a o trimite către alt cont, se constată că înlocuirea adresei nu se mai efectuează, iar interfața de backend a interfeței de phishing a fost închisă pentru a returna adresa rău intenționată.
În acest moment al analizei, combinat cu numele domeniului de phishing, calea interfeței și data și ora backend-ului site-ului web, l-am legat de analiza falsă a aplicației Binance „Li Kui sau Li Gui” lansată pe 8 noiembrie 2022? Fake Binance APP Phishing Analysis”, în urma analizei s-a constatat că cele două incidente au fost de fapt comise de aceeași bandă de phishing.
Mai multe nume de domenii de phishing au fost descoperite prin verificarea IP inversă a numelor de domeniu.
Analiza adreselor rău intenționateEchipa de securitate SlowMist a blocat imediat adresa rău intenționată după ce a analizat-o. Prin urmare, scorul de risc actual al adreselor de mai sus este de 100 de puncte, ceea ce reprezintă un risc serios.
Folosind analiza MistTrack, s-a constatat că adresa lanțului TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) a primit un total de aproximativ 192.856 USDT și 110 tranzacții de depozit. Mai există un sold în această adresă, iar cea mai recentă tranzacție a fost pe 8 noiembrie.
Continuând să urmărim înregistrările retragerilor, am constatat că majoritatea fondurilor au fost transferate în loturi.
Continuați să utilizați MistTrack pentru a analiza adresa lanțului ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) Această adresă a primit un total de aproximativ 7.800 USD, cu 10 tranzacții de depunere.
Continuând analiza, am constatat că majoritatea fondurilor au fost transferate prin BitKeep’s Swap, iar sursa taxei de gestionare a fost OKX.
RezumaCanalul de phishing partajat de data aceasta a fost implementat prin aplicații software sociale false, iar echipa de securitate SlowMist a dezvăluit, de asemenea, multe cazuri similare. Comportamentele obișnuite ale aplicațiilor false includ încărcarea de imagini de fișiere de pe telefoane mobile, încărcarea de date care pot conține informații sensibile despre utilizator și înlocuirea în mod rău intenționat a conținutului de transmisie în rețea, cum ar fi modificarea adresei de destinație a transferurilor de portofel în acest articol aplicații de schimb false.
Utilizatorii trebuie să confirme cu mai multe părți atunci când descarcă și folosesc aplicații și să caute canale de descărcare oficiale pentru a evita descărcarea de aplicații rău intenționate și cauzarea de pierderi financiare. Lumea pădurii întunecate blockchain cere utilizatorilor să-și îmbunătățească continuu gradul de conștientizare a securității și să evite să fie înșelați. Pentru mai multe cunoștințe de securitate, se recomandă să citiți „Manualul de autosalvare în pădure întunecată Blockchain” produs de echipa de securitate SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .