Фишинговое мошенничество использует поддельное приложение Skype для атак на пользователей криптовалют в Китае
Summary:
Недавно обнаруженная фишинговая афера в Китае, связанная с мошенническим видеоприложением Skype, нацелена на пользователей криптовалюты, по данным аналитической компании SlowMist. Используя запрет Китая на определенные международные приложения, мошенники обманом заставляют пользователей загружать клонированные приложения, пронизанные вредоносным ПО. Поддельное приложение Skype дублирует широко используемую сетевую инфраструктуру Android okhttp3, предоставляя доступ к пользовательским данным и потенциально заменяя адреса, связанные с криптовалютой, мошенническими. Афера уже привела к значительным финансовым потерям. Следователи по безопасности внесли в черный список более 100 вредоносных адресов, связанных с мошенничеством.
Недавно обнаруженная тактика фишинга в Китае использует мошенническое видеоприложение Skype, чтобы заманить жертв, согласно отчету SlowMist, аналитической компании по безопасности криптовалют. Эта афера, которую, как подозревают, возглавляют китайские хакеры, извлекает выгоду из запрета Китая на международные заявки. Большинство пользователей материкового Китая часто обращаются к сторонним платформам в поисках этих запрещенных приложений. Приложения социальных сетей, такие как Telegram, WhatsApp и Skype, составляют большую часть поисковых приложений, что дает возможность мошенникам использовать клонированные приложения, чреватые вредоносным ПО, нацеленным на криптовалютные кошельки.
Изучив результаты поиска Skype от Baidu и проанализировав мошенничество, SlowMist обнаружил поддельное приложение Skype с номером версии, отличным от настоящего приложения Skype (8.107.0.215). 23 ноября 2022 года фишинговая афера также выдавала себя за биржу Binance, а 23 мая 2023 года перешла на имитацию бэкенд-домена Skype. Об этом мошенническом приложении Skype впервые сообщила жертва, которая потеряла значительную сумму из-за мошенничества.
Заминированное приложение, после дальнейшего изучения командой безопасности, было представлено для манипулирования сетевой структурой Android okhttp3 для нацеливания на пользователей криптовалюты. Запросы трафика Android обычно обрабатываются okhttp3. Тем не менее, манипулируемый okhttp3 получает доступ к изображениям из различных телефонных справочников и обнаруживает новые изображения в режиме реального времени.
Пользователям предлагается предоставить вредоносное разрешение okhttp3 для внутренних файлов и изображений, что является обычным запросом, сделанным большинством приложений социальных сетей. Следовательно, ничего не подозревающие пользователи предоставляют разрешения, позволяя поддельному Skype загружать изображения, информацию об устройстве, идентификатор пользователя, номера телефонов и многое другое в свою серверную часть. Поддельное приложение непрерывно сканирует изображения или сообщения, напоминающие строки формата адресов, похожие на TRX и ETH. В случае обнаружения они заменяются вредоносными адресами, контролируемыми фишинговой группой.
В ходе расследования SlowMist установили, что подмена адреса кошелька закончилась, а бэкенд фишингового интерфейса был деактивирован. Они также идентифицировали чейн-адрес TRON (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB), который получил около 192 856 USDT через 110 транзакций до 8 ноября. В то же время на адрес цепочки Ethereum (0xF90acFBe580F58f912F557B444bA1bf77053fc03) поступило около 7 800 USDT от 10 отдельных депозитов. В общей сложности следователи выявили более 100 вредоносных адресов, связанных с этой аферой, и впоследствии внесли их в черный список.
Published At
11/13/2023 10:54:21 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.