W Chinach pojawił się nowy typ scamu. Chodzi o atak phishingowy, w którym hakerzy wykorzystują fałszywą aplikację Skype do atakowania użytkowników kryptowalut.
Według raportu firmy analitycznej ds. bezpieczeństwa kryptowalut SlowMist, chińscy hakerzy opierają swoje oszustwo na zakazie używania aplikacji spoza Chin w Państwie Środka. Według firmy wielu użytkowników z Chin często poszukuje na własną rękę zakazanych aplikacji, za pośrednictwem platform zewnętrznych. Najczęściej poszukiwanymi aplikacjami są platformy mediów społecznościowych, takie jak Telegram, WhatsApp i Skype. Chińscy hakerzy wykorzystują właśnie tę potrzebę “ściągnięcia” zbanowanych aplikacji. Atakują zainteresowanych nimi użytkowników dzięki fałszywych, podstawionych aplikacji zawierających złośliwe oprogramowanie stworzone do atakowania portfeli kryptowalutowych.
W analizie przypadku ataków dzięki popularnego komunikatora, zespół SlowMist zauważył, iż nowo utworzona, fałszywa aplikacja Skype wyświetlała wersję 8.87.0.403, podczas gdy najnowsza oficjalna wersja Skype to 8.107.0.215. Zespół odkrył również, iż fałszywa domena „bn-download3.com” podszywała się pod giełdę Binance w listopadzie 2022 roku, aby później zmienić się na domenę podszywającą się pod Skype w maju tego roku. Fałszywa aplikacja została zgłoszona przez użytkownika, który stracił swoje pieniądze, właśnie podczas ściągania aplikacji Skype, zawierającej złośliwe oprogramowanie.
Hackerzy infekowali Skype
Analiza aplikacji udostępnionej przez hakerów ujawniła, iż została ona sfałszowana w celu umieszczenia złośliwego oprogramowania. Zespół badaczy odkrył zmodyfikowany, powszechnie używany framework sieciowy Androida, „okhttp3”, w celu atakowania użytkowników kryptowalut. Domyślny framework okhttp3 obsługuje żądania ruchu Androida. ale zmodyfikowany okhttp3 pobiera obrazy z różnych katalogów w telefonie i monitoruje nowe zdjęcia i obrazy użytkownika w czasie rzeczywistym. Złośliwy okhttp3 prosił następnie użytkowników o udzielenie dostępu do wewnętrznych plików i obrazów. Ponieważ robi tak większość aplikacji mediów społecznościowych, użytkownicy często akceptują te zmiany odruchowo. W rezultacie fałszywa aplikacja Skype natychmiast rozpoczyna przesyłanie danych. Chodzi o obrazy, informacje o urządzeniu, logiy użytkownika, numer telefonu i inne informacje prosto na serwer hackerów.
Gdy złośliwe oprogramowanie uzyskiwało dostęp do danych użytkownika, zaczynało poszukiwania obrazów i wiadomości z formatem adresów przypominających Tron (TRX) i Ether (ETH). jeżeli takie adresy zostały wykryte, automatycznie były one zastępowane złośliwymi adresami ustawionymi przez grupę phishingową. W ten sposób hackerzy uzyskiwali dostęp do portfeli nieświadomych użytkowników.
Szczegółowy raport firmy SlowMist z dokładną analizą, można znaleźć tutaj.