От чего трудно защититься: анализ фишинга в приложении Skype

Автор: яо
фонСлучаи фишинга в фейковых приложениях очень часты в мире Web3, и команда безопасности SlowMist ранее уже публиковала соответствующие статьи по анализу фишинга. Поскольку в Китае нет прямого доступа к Google Play, многие пользователи часто предпочитают напрямую искать и загружать приложение, которое они хотят использовать, в Интернете. Однако типы поддельных приложений, наводнившие Интернет, больше не ограничиваются кошельками и биржами. программное обеспечение, такое как Telegram, WhatsApp и Skype, также является наиболее пострадавшим.
Недавно в команду безопасности SlowMist обратился потерпевший. Согласно его описанию, у него были украдены средства после использования загруженного онлайн приложения Skype, поэтому мы провели анализ на основе поддельного образца фишинга Skype, предоставленного жертвой.
Поддельный анализ приложения SkypeСначала проанализируйте информацию подписи поддельного приложения Skype. Как правило, информация подписи поддельного приложения имеет ненормальное содержимое, которое сильно отличается от настоящего приложения.
Мы видим, что информация о подписи этого поддельного приложения относительно проста, практически не содержит контента, а владельцем и издателем являются «CN». На основании этой информации можно предварительно определить, что группа по производству фишинга, скорее всего, будет китайской, а на основании даты вступления в силу сертификата 2023.9.11 можно также сделать вывод, что время производства этого приложения невелико. Дальнейший анализ также показал, что поддельное приложение использует версию 8.87.0.403, а номер последней версии Skype — 8.107.0.215.
Используя поиск Baidu, мы обнаружили источники каналов выпуска нескольких идентичных поддельных версий Skype, и информация о подписи соответствовала информации, предоставленной жертвой.
Загрузите реальную версию Skype 8.87.403 для сравнения сертификатов:
Поскольку сертификат APK не соответствует, это означает, что APK-файл был подделан и, возможно, в него был внедрен вредоносный код, поэтому мы начали декомпилировать и анализировать APK.
«SecShell» — это функция APK, оснащенная усилением Bangbang. Это также распространенный метод защиты от поддельных приложений. Фишинговые банды часто упаковывают поддельные приложения, чтобы предотвратить их анализ.
Проанализировав распакованную версию, команда безопасности SlowMist обнаружила, что поддельное приложение в основном модифицировало okhttp3, сетевую структуру, обычно используемую Android, для выполнения различных вредоносных операций. Поскольку okhttp3 — это платформа для запросов трафика Android, все запросы трафика будут проходить через okhttp3. обрабатывать.
Модифицированный okhttp3 сначала получит изображения в каждом каталоге мобильного устройства Android и отслеживает наличие новых изображений в режиме реального времени.
Полученные изображения в конечном итоге будут загружены на серверный интерфейс фишинговой группы через Интернет: https://bn-download3.com/api/index/upload.
С помощью платформы сопоставления активов Weibu Online было обнаружено, что фишинговое внутреннее доменное имя «bn-download3.com» выдавало себя за Binance Exchange 2022.11.23 и не начало выдавать себя за внутреннее доменное имя Skype до 2023.05.23:
Дальнейший анализ показал, что «bn-download[number]» — это поддельное доменное имя, используемое фишинговой группой специально для фишинга Binance. Это показывает, что эта фишинговая группа является рецидивистом и специально нацелена на Web3.
Анализируя трафик пакетов сетевых запросов, после запуска и открытия поддельного Skype модифицированный okhttp3 начнет подавать заявки на такие разрешения, как доступ к файловым альбомам. Поскольку социальные приложения требуют передачи файлов, телефонных звонков и т. д., среднестатистические пользователи не опасаются такого поведения. Получив разрешения пользователя, фейковый Skype сразу начал загружать на бэкенд изображения, информацию об устройстве, идентификатор пользователя, номер мобильного телефона и другую информацию:
Благодаря анализу слоев трафика мобильный телефон тестируемого устройства имеет 3 изображения, поэтому мы видим, что в трафике есть 3 запроса на загрузку.
В начале операции фейковый Skype также запросит список USDT из интерфейса (https://bn-download3.com/api/index/get_usdt_list2?channel=605), но в ходе анализа было обнаружено, что сервер вернул пустой список:
Проанализировав код, мы обнаружили, что поддельный Skype будет отслеживать, содержат ли совпадающие отправленные и полученные сообщения строки формата адреса типа TRX и ETH. В случае совпадения он будет автоматически заменен вредоносным адресом, заданным фишинговой группой:
Соответствующие вредоносные адреса следующие:
ТРХ:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ЭТХ:
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Помимо жестко закодированного адреса, поддельный Skype также динамически получает вредоносный адрес через интерфейс «https://bn-download8.com/api/index/reqaddV2».
В настоящее время при проверке поддельного адреса Skype для отправки на другую учетную запись обнаружено, что замена адреса больше не выполняется, а внутренний интерфейс фишингового интерфейса закрыт для возврата вредоносного адреса.
На этом этапе анализа, в сочетании с фишинговым доменным именем, путем к интерфейсу, а также датой и временем серверной части веб-сайта, мы связали его с поддельным анализом приложения Binance «Li Kui или Li Gui», выпущенным 8 ноября 2022 года? Fake Binance APP Phishing Analysis», после анализа выяснилось, что оба инцидента на самом деле были совершены одной и той же фишинговой бандой.
Еще больше фишинговых доменных имен было обнаружено посредством проверки обратного доменного имени по IP.
Анализ вредоносных адресовКоманда безопасности SlowMist немедленно заблокировала вредоносный адрес после его анализа. Таким образом, текущая оценка риска для вышеуказанных адресов составляет 100 баллов, что является серьезным риском.
С помощью анализа MistTrack было обнаружено, что адрес цепочки TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) получил в общей сложности около 192 856 долларов США и 110 депозитных транзакций. По этому адресу все еще есть некоторый баланс, а последняя транзакция состоялась 8 ноября.
Продолжая отслеживать записи о снятии средств, мы обнаружили, что большая часть средств выводилась партиями.
Продолжайте использовать MistTrack для анализа адреса цепочки ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). На этот адрес поступило в общей сложности около 7800 долларов США с 10 депозитными транзакциями. Все средства были переведены. Последняя транзакция была совершена 11 июля.
Продолжая анализ, мы обнаружили, что большая часть средств была переведена через Swap BitKeep, а источником комиссии за обработку был OKX.
Подведем итогРаспространенный на этот раз фишинговый канал был реализован с помощью поддельных социальных приложений, и команда безопасности SlowMist также раскрыла множество подобных случаев. Обычное поведение поддельных приложений включает загрузку изображений файлов с мобильных телефонов, загрузку данных, которые могут содержать конфиденциальную информацию пользователя, а также злонамеренную замену содержимого сетевой передачи, например изменение адреса назначения переводов с кошелька в этой статье. Этот метод распространен в поддельных Telegram и других приложениях. поддельные приложения обмена.
Пользователям по-прежнему необходимо подтверждать загрузку и использование приложений у нескольких сторон, а также искать официальные каналы загрузки, чтобы избежать загрузки вредоносных приложений и финансовых потерь. Мир темного леса блокчейна требует от пользователей постоянно повышать свою осведомленность о безопасности и избегать обмана. Для получения дополнительных знаний о безопасности рекомендуется прочитать «Справочник по самоспасению Blockchain Dark Forest», созданный командой безопасности SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.