В Китае возникла новая фишинговая афера, которая использует поддельное видеоприложение Skype для атак на пользователей криптовалюты.

Согласно отчету аналитической компании по криптобезопасности SlowMist, китайские хакеры, стоящие за фишинговой аферой, использовали запрет Китая на международные приложения в качестве основы для своего мошенничества, поскольку некоторые пользователи с материка часто ищут эти запрещенные приложения через сторонние платформы.

Приложения социальных сетей, такие как Telegram, WhatsApp и Skype, являются одними из наиболее распространенных приложений, которые ищут пользователи из материкового Китая, поэтому мошенники часто используют эту уязвимость, чтобы нацеливаться на них с помощью поддельных клонированных приложений, содержащих вредоносное ПО, разработанное для атаки на криптокошельки.

Результаты поиска Baidu для Skype. Источник: Байду
Результаты поиска Baidu для Skype. Источник: Байду

В ходе анализа команда SlowMist обнаружила, что недавно созданное поддельное приложение Skype имело номер версии 8.87.0.403, тогда как последняя версия Skype на самом деле имеет номер 8.107.0.215. Команда также обнаружила, что 23 ноября 2022 года фишинговый внутренний домен bn-download3.com выдавал себя за биржу Binance, а 23 мая 2023 года изменил его, чтобы имитировать внутренний домен Skype. Поддельное приложение Skype было впервые сообщил пользователь, который потерял значительную сумму денег в результате того же мошенничества.

Поддельная подпись приложения показала, что она была изменена с целью установки вредоносного ПО, а после декомпиляции приложения команда безопасности обнаружила, что оно модифицировало широко используемую сетевую структуру Android под названием okhttp3 для таргетинга на пользователей криптовалюты. Платформа okhttp3 по умолчанию обрабатывает запросы трафика Android, но модифицированная okhttp3 получает изображения из различных каталогов на телефоне и отслеживает любые новые изображения в режиме реального времени.

Вредоносный okhttp3 просит пользователей предоставить доступ к внутренним файлам и изображениям, и поскольку большинство приложений социальных сетей все равно запрашивают эти разрешения, они часто не подозревают о каких-либо нарушениях. Таким образом, поддельный Skype немедленно начинает загружать на сервер изображения, информацию об устройстве, идентификатор пользователя, номер телефона и другую информацию.

Как только поддельное приложение получает доступ, оно постоянно ищет изображения и сообщения со строками формата адреса, подобными TRX и ETH. Если такие адреса обнаружены, они автоматически заменяются вредоносными адресами, заранее заданными фишинговой группой.

Поддельная серверная часть приложения Skype. Источник: Медленный туман
Поддельная серверная часть приложения Skype. Источник: Медленный туман

В ходе тестирования SlowMist было обнаружено, что замена адреса кошелька прекратилась, а серверная часть фишингового интерфейса была отключена и больше не возвращала вредоносные адреса.

Команда также обнаружила, что адрес цепочки Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) до 8 ноября получил около 192 856 долларов США, при этом на адрес было совершено 110 транзакций. В то же время другой адрес цепочки ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) получил около 7800 долларов США за 10 депозитных транзакций.

Всего было обнаружено и занесено в черный список более 100 вредоносных адресов, связанных с мошенничеством.

Журнал: Таиланд пожертвовал 1 миллиард долларов криптовалютой, окончательный срок Mt. Gox, приложение Tencent NFT отклонено

Источник