Phishing-Betrug nutzt gefälschte Skype-App, um Krypto-Nutzer in China ins Visier zu nehmen
Summary:
Ein neu entdeckter Phishing-Betrug in China, bei dem es um eine betrügerische Skype-Video-App geht, zielt laut dem Krypto-Sicherheitsanalyseunternehmen SlowMist auf Kryptowährungsnutzer ab. Betrüger nutzen Chinas Verbot bestimmter internationaler Apps aus und verleiten Benutzer dazu, geklonte Apps herunterzuladen, die mit Malware gespickt sind. Die gefälschte Skype-App dupliziert ein häufig verwendetes Android-Netzwerk-Framework, okhttp3, gewährt Zugriff auf Benutzerdaten und ersetzt möglicherweise kryptobezogene Adressen durch betrügerische. Die Betrugsmasche hat bereits zu erheblichen finanziellen Verlusten geführt. Sicherheitsermittler haben über 100 bösartige Adressen, die mit dem Betrug in Verbindung gebracht werden, auf eine schwarze Liste gesetzt.
Eine neu entdeckte Phishing-Taktik in China nutzt eine betrügerische Skype-Video-App, um Opfer anzulocken, so ein Bericht von SlowMist, einem Unternehmen für Kryptowährungs-Sicherheitsanalysen. Dieser Betrug, der mutmaßlich von chinesischen Hackern angeführt wird, macht sich das chinesische Verbot internationaler Anwendungen zunutze. Die meisten Benutzer auf dem Festland wenden sich auf der Suche nach diesen verbotenen Anwendungen oft an Plattformen von Drittanbietern. Social-Media-Apps wie Telegram, WhatsApp und Skype machen den Großteil der gesuchten Anwendungen aus und bieten Betrügern die Möglichkeit, geklonte Apps zu verwenden, die mit schädlicher Malware behaftet sind, die auf Kryptowährungs-Wallets abzielt.
Bei der Untersuchung der Suchergebnisse für Skype von Baidu und der Analyse des Betrugs fand SlowMist eine gefälschte Skype-App mit einer anderen Versionsnummer (8.87.0.403) als die echte Skype-App (8.107.0.215). Der Phishing-Betrug gab sich am 23. November 2022 auch als Binance-Börse aus, bevor er am 23. Mai 2023 zur Nachahmung der Skype-Backend-Domain überging. Diese betrügerische Skype-App wurde zuerst von einem Opfer gemeldet, das eine beträchtliche Summe durch den Betrug verloren hat.
Die mit Sprengfallen versehene App wurde nach weiteren Untersuchungen durch das Sicherheitsteam enthüllt, um das okhttp3-Netzwerk-Framework von Android zu manipulieren, um Kryptowährungsnutzer anzusprechen. Android-Datenverkehrsanforderungen werden in der Regel von okhttp3 verarbeitet. Das manipulierte okhttp3 greift jedoch auf Bilder aus verschiedenen Telefonbüchern zu und erkennt neue Bilder in Echtzeit.
Benutzer werden aufgefordert, die schädliche okhttp3-Berechtigung für interne Dateien und Bilder zu erteilen, was eine häufige Anfrage der meisten Social-Media-Apps ist. Folglich erteilen unwissende Benutzer Berechtigungen, die es dem gefälschten Skype ermöglichen, Bilder, Geräteinformationen, Benutzer-ID, Telefonnummern und mehr in sein Backend hochzuladen. Die gefälschte App sucht unaufhörlich nach Bildern oder Nachrichten, die TRX- und ETH-ähnlichen Adressformaten ähneln. Wenn sie erkannt werden, werden sie durch schädliche Adressen ersetzt, die von der Phishing-Gruppe kontrolliert werden.
Während der Untersuchung stellte SlowMist fest, dass die Ersetzung der Wallet-Adresse beendet und das Backend der Phishing-Schnittstelle deaktiviert worden war. Sie identifizierten auch eine TRON-Chain-Adresse (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB), die bis zum 8. November etwa 192.856 USDT über 110 Transaktionen erhalten hatte. Gleichzeitig erhielt eine Ethereum-Chain-Adresse (0xF90acFBe580F58f912F557B444bA1bf77053fc03) etwa 7.800 USDT von 10 separaten Einzahlungen. Insgesamt entdeckten die Ermittler über 100 bösartige Adressen, die mit diesem Betrug in Verbindung standen, und setzten sie anschließend auf eine schwarze Liste.
Published At
11/13/2023 10:54:21 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.