В Китае появилась новая фишинговая атака, использующая фальшивое приложение Skype для целей криптовалютных пользователей.
Согласно отчету криптовалютной аналитической фирмы по безопасности SlowMist, китайские хакеры, стоящие за фишинговой атакой, использовали запрет Китая на международные приложения в качестве основы для своего мошенничества, поскольку многие пользователи материкового Китая часто ищут эти запрещенные приложения через сторонние платформы.
Популярные социальные медиа-приложения, такие как Telegram, WhatsApp и Skype, являются некоторыми из наиболее часто ищущихся приложений среди пользователей материкового Китая, поэтому мошенники часто используют эту уязвимость, чтобы нацелиться на них с помощью фальшивых, клонированных приложений, содержащих вредоносное ПО, разработанное для атак на криптовалютные кошельки.
В своем анализе команда SlowMist обнаружила, что недавно созданное фальшивое приложение Skype отображало версию 8.87.0.403, в то время как последняя официальная версия Skype – 8.107.0.215. Команда также обнаружила, что фишинговый домен “bn-download3.com” подделывал биржу Binance 23 ноября 2022 года, а позже изменился, чтобы имитировать домен Skype 23 мая 2023 года. Фальшивое приложение Skype было впервые замечено пользователем, потерявшим “значительную сумму денег” в ту же атаку.
Сигнатура фальшивого приложения показала, что оно было изменено для вставки вредоносного ПО. После декомпиляции приложения, команда безопасности обнаружила модифицированный широко используемый Android-сетевой фреймворк “okhttp3”, предназначенный для атак на криптопользователей. Оригинальный okhttp3 обрабатывает запросы трафика Android, но модифицированный okhttp3 получает изображения из различных каталогов на телефоне и отслеживает новые изображения в реальном времени.
Вредоносный okhttp3 запрашивает у пользователей доступ к внутренним файлам и изображениям, и поскольку большинство социальных медиа-приложений все равно запрашивают эти разрешения, они часто не подозревают ничего неправильного. Таким образом, фальшивое приложение Skype сразу начинает загружать изображения, информацию об устройстве, идентификатор пользователя, номер телефона и другую информацию на сервер.
После того, как у фальшивого приложения есть доступ, оно непрерывно ищет изображения и сообщения с адресами, похожими на Tron (TRX) и Ether (ETH). Если такие адреса обнаруживаются, они автоматически заменяются злонамеренными адресами, заранее установленными бандой фишеров.
Во время тестирования SlowMist было обнаружено, что замена адресов кошелька была остановлена, а фоновый интерфейс фишинга был отключен и больше не возвращал злонамеренные адреса.
Команда также обнаружила, что адрес Tron-цепи (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) к 8 ноября получил около 192 856 Tether (USDT) с общим количеством 110 транзакций на адрес. В то же время другой адрес ETH-цепи (0xF90acFBe580F58f912F557B444bA1bf77053fc03) получил около 7 800 USDT в 10 транзакциях.
Команда SlowMist пометила и внесла в черный список все адреса кошельков, связанные с мошенничеством.