В Китае возникла новая фишинговая афера, в которой используется поддельное видеоприложение Skype для атак на пользователей криптовалюты.
Согласно отчету аналитической компании по безопасности криптовалют SlowMist, китайские хакеры, стоящие за фишинговой аферой, использовали запрет Китая на международные приложения в качестве основы для своего мошенничества, поскольку некоторые пользователи с материка часто ищут эти запрещенные приложения через сторонние платформы.
Приложения социальных сетей, такие как Telegram, WhatsApp и Skype, являются одними из наиболее распространенных приложений, которые ищут пользователи из материкового Китая, поэтому мошенники часто используют эту уязвимость, чтобы нацеливаться на них с помощью поддельных клонированных приложений, содержащих вредоносное ПО, разработанное для атаки на криптовалютные кошельки.
В ходе анализа команда SlowMist обнаружила, что недавно созданное поддельное приложение Skype имело номер версии 8.87.0.403, тогда как последняя версия Skype на самом деле имеет номер 8.107.0.215. Команда также обнаружила, что 23 ноября 2022 года фишинговый внутренний домен bn-download3.com выдавал себя за биржу Binance, а 23 мая 2023 года изменил его, чтобы имитировать внутренний домен Skype. Поддельное приложение Skype быловпервые сообщил пользователь, который потерял «значительную сумму денег» в результате того же мошенничества.
Подпись поддельного приложения показала, что оно было изменено с целью установки вредоносного ПО, а после декомпиляции приложения команда безопасности обнаружила, что оно модифицировало широко используемую сетевую структуру Android под названием okhttp3 для целевой пользователей криптовалюты. Платформа okhttp3 по умолчанию обрабатывает запросы трафика Android, но модифицированная okhttp3 получает изображения из различных каталогов на телефоне и отслеживает любые новые изображения в режиме реального времени.
Вредоносный okhttp3 просит пользователей предоставить доступ к внутренним файлам и изображениям, и поскольку большинство приложений социальных сетей все равно запрашивают эти разрешения, они часто не подозревают о каких-либо нарушениях. Таким образом, поддельный Skype немедленно начинает загружать на сервер изображения, информацию об устройстве, идентификатор пользователя, номер телефона и другую информацию.
Как только поддельное приложение получает доступ, оно постоянно ищет изображения и сообщения со строками формата адреса, подобными TRX и ETH. Если такие адреса обнаружены, они автоматически заменяются вредоносными адресами, заранее заданными фишинговой группой.
В ходе тестирования SlowMist было обнаружено, что замена адреса кошелька прекратилась, а серверная часть фишингового интерфейса была отключена и больше не возвращала вредоносные адреса.
По теме: 5 хитрых уловок, которые мошенники с криптовалютой использовали в прошлом году
Команда также обнаружила, что адрес цепочки TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) до 8 ноября получил около 192 856 долларов США, при этом на адрес было совершено 110 транзакций. В то же время другой адрес цепочки ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) получил около 7800 долларов США за 10 депозитных транзакций.
Всего было обнаружено и занесено в черный список более 100 вредоносных адресов, связанных с мошенничеством.
