Khó đề phòng: Phân tích lừa đảo giả mạo trên ứng dụng Skype

Bởi: yao
lý lịchCác sự cố lừa đảo qua Ứng dụng giả mạo rất thường xuyên xảy ra trong thế giới Web3 và nhóm bảo mật SlowMist cũng đã xuất bản các bài viết phân tích lừa đảo liên quan trước đây. Do không có quyền truy cập trực tiếp vào Google Play ở Trung Quốc nên nhiều người dùng thường chọn cách trực tiếp tìm kiếm và tải xuống Ứng dụng họ muốn sử dụng trực tuyến. Tuy nhiên, các loại Ứng dụng giả tràn lan trên Internet không còn giới hạn ở ví và sàn giao dịch. các phần mềm như Telegram, WhatsApp và Skype cũng là những khu vực bị ảnh hưởng nặng nề nhất.
Gần đây, một nạn nhân đã liên hệ với nhóm bảo mật SlowMist, theo mô tả của anh ta, anh ta đã bị đánh cắp tiền sau khi sử dụng Ứng dụng Skype được tải xuống trực tuyến, vì vậy chúng tôi đã tiến hành phân tích dựa trên mẫu lừa đảo Skype giả mạo do nạn nhân cung cấp.
Phân tích ứng dụng Skype giả mạoĐầu tiên, phân tích thông tin chữ ký của Skype giả mạo. Nói chung, thông tin chữ ký của Ứng dụng giả mạo có nội dung bất thường, khá khác biệt so với Ứng dụng thật.
Chúng tôi thấy thông tin chữ ký của App giả mạo này tương đối đơn giản, hầu như không có nội dung, chủ sở hữu và nhà phát hành đều là “CN”. Dựa trên thông tin này, có thể xác định sơ bộ nhóm sản xuất lừa đảo có khả năng là người Trung Quốc và căn cứ vào ngày chứng chỉ có hiệu lực là 2023.9.11, cũng có thể suy ra thời gian sản xuất của App này không dài. Phân tích sâu hơn cũng cho thấy ứng dụng giả mạo sử dụng phiên bản 8.87.0.403 và số phiên bản mới nhất của Skype là 8.107.0.215.
Bằng cách sử dụng tìm kiếm của Baidu, chúng tôi đã tìm thấy nguồn kênh phát hành của nhiều phiên bản Skype giả mạo giống hệt nhau và thông tin chữ ký trùng khớp với thông tin do nạn nhân cung cấp.
Tải xuống phiên bản Skype 8.87.403 thực để so sánh chứng chỉ:
Do chứng chỉ của APK không nhất quán, điều đó có nghĩa là tệp APK đã bị giả mạo và có thể đã bị tiêm mã độc, vì vậy chúng tôi bắt đầu dịch ngược và phân tích APK.
“SecShell” là một tính năng của APK được tích hợp tính năng tăng cường Bangbang. Đây cũng là một phương pháp phòng thủ phổ biến đối với các ứng dụng giả mạo thường thêm một lớp pháo kích vào các ứng dụng giả mạo để ngăn chúng bị phân tích.
Sau khi phân tích phiên bản đã giải nén, nhóm bảo mật SlowMist phát hiện ra rằng Ứng dụng giả mạo chủ yếu sửa đổi okhttp3, một khung mạng thường được Android sử dụng, để thực hiện nhiều hoạt động độc hại khác nhau. Vì okhttp3 là khung cho các yêu cầu lưu lượng truy cập của Android nên tất cả các yêu cầu lưu lượng truy cập sẽ đi qua okhttp3. giải quyết.
Okhttp3 đã sửa đổi trước tiên sẽ lấy hình ảnh trong mỗi thư mục của thiết bị di động Android và theo dõi xem có hình ảnh mới trong thời gian thực hay không.
Những hình ảnh thu được cuối cùng sẽ được tải lên giao diện phụ trợ của nhóm lừa đảo qua Internet: https://bn-download3.com/api/index/upload.
Thông qua nền tảng ánh xạ tài sản của Weibu Online, người ta đã phát hiện ra rằng tên miền phụ trợ lừa đảo “bn-download3.com” đã mạo danh Binance Exchange vào ngày 23/11/2022 và không bắt đầu mạo danh tên miền phụ trợ của Skype cho đến ngày 23/05/2023:
Phân tích sâu hơn cho thấy "bn-download[number]" là một tên miền giả được nhóm lừa đảo sử dụng riêng cho lừa đảo Binance. Điều này cho thấy nhóm lừa đảo này là kẻ tái phạm và đặc biệt nhắm mục tiêu vào Web3.
Bằng cách phân tích lưu lượng gói yêu cầu mạng, sau khi chạy và mở Skype giả, okhttp3 đã sửa đổi sẽ bắt đầu áp dụng các quyền như quyền truy cập vào album tệp. Vì các ứng dụng xã hội yêu cầu chuyển tập tin, gọi điện thoại, v.v. nên người dùng bình thường không cảnh giác với những hành vi này. Sau khi có được quyền của người dùng, Skype giả mạo ngay lập tức bắt đầu tải hình ảnh, thông tin thiết bị, id tên người dùng, số điện thoại di động và các thông tin khác lên phần phụ trợ:
Thông qua phân tích lớp lưu lượng truy cập, thiết bị điện thoại di động được thử nghiệm có 3 hình ảnh, vì vậy chúng tôi có thể thấy rằng có 3 yêu cầu tải lên trong lưu lượng truy cập.
Khi bắt đầu hoạt động, Skype giả mạo cũng sẽ yêu cầu danh sách USDT từ giao diện (https://bn-download3.com/api/index/get_usdt_list2?channel=605), nhưng trong quá trình phân tích, người ta nhận thấy rằng máy chủ trả về một danh sách trống:
Theo dõi mã, chúng tôi phát hiện ra rằng Skype giả mạo sẽ giám sát xem các tin nhắn trùng khớp được gửi và nhận có chứa chuỗi định dạng địa chỉ loại TRX và ETH hay không. Nếu khớp, nó sẽ tự động được thay thế bằng địa chỉ độc hại do nhóm lừa đảo đặt trước:
Các địa chỉ độc hại có liên quan như sau:
TRX:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH:
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
Ngoài địa chỉ được mã hóa cứng, Skype giả mạo còn tự động lấy địa chỉ độc hại thông qua giao diện “https://bn-download8.com/api/index/reqaddV2”.
Hiện tại, khi kiểm tra địa chỉ Skype giả để gửi sang tài khoản khác, người ta nhận thấy việc thay thế địa chỉ không còn được thực hiện và giao diện phụ trợ giao diện lừa đảo đã bị đóng để trả về địa chỉ độc hại.
Tại thời điểm phân tích này, kết hợp với tên miền lừa đảo, đường dẫn giao diện và ngày giờ của phần phụ trợ trang web, chúng tôi đã liên kết nó với phân tích Ứng dụng Binance giả mạo “Li Kui hoặc Li Gui” được phát hành vào ngày 8 tháng 11 năm 2022? Phân tích lừa đảo ứng dụng Binance giả mạo", sau khi phân tích, người ta thấy rằng hai sự cố thực sự được thực hiện bởi cùng một nhóm lừa đảo.
Thêm nhiều tên miền lừa đảo được phát hiện thông qua việc kiểm tra tên miền ngược IP.
Phân tích địa chỉ độc hạiNhóm bảo mật SlowMist đã ngay lập tức chặn địa chỉ độc hại sau khi phân tích. Do đó, điểm rủi ro hiện tại của các địa chỉ trên là 100 điểm, đây là mức rủi ro nghiêm trọng.
Sử dụng phân tích MistTrack, người ta thấy rằng địa chỉ chuỗi TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) đã nhận được tổng cộng khoảng 192.856 USDT và 110 giao dịch gửi tiền. Vẫn còn một số dư trong địa chỉ này và giao dịch gần đây nhất là vào ngày 8 tháng 11.
Tiếp tục theo dõi hồ sơ rút tiền, chúng tôi nhận thấy hầu hết số tiền đã được chuyển đi theo đợt.
Tiếp tục sử dụng MistTrack để phân tích địa chỉ chuỗi ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03). Địa chỉ này đã nhận được tổng cộng khoảng 7.800 USDT, với 10 giao dịch gửi tiền đã được chuyển.
Tiếp tục phân tích, chúng tôi nhận thấy rằng hầu hết số tiền đã được chuyển thông qua BitKeep's Swap và nguồn phí xử lý là OKX.
Tóm tắtKênh lừa đảo được chia sẻ lần này được thực hiện thông qua các ứng dụng phần mềm xã hội giả mạo và nhóm bảo mật SlowMist cũng đã tiết lộ nhiều trường hợp tương tự. Các hành vi phổ biến của ứng dụng giả mạo bao gồm tải ảnh tệp lên từ điện thoại di động, tải lên dữ liệu có thể chứa thông tin nhạy cảm của người dùng và thay thế nội dung truyền mạng một cách độc hại, chẳng hạn như sửa đổi địa chỉ đích của chuyển khoản ví trong bài viết này. ứng dụng trao đổi giả mạo.
Người dùng vẫn cần xác nhận với nhiều bên khi tải và sử dụng APP, đồng thời tìm kiếm các kênh tải xuống chính thức để tránh tải APP độc hại và gây tổn thất tài chính. Thế giới rừng tối blockchain đòi hỏi người dùng phải liên tục nâng cao nhận thức về bảo mật và tránh bị lừa dối. Để biết thêm kiến ​​thức về bảo mật, bạn nên đọc "Sổ tay tự cứu rừng đen Blockchain" do Nhóm bảo mật SlowMist sản xuất: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .