La fausse application Skype est largement diffusée sur Internet chinois, a appris l'équipe de sécurité SlowMist.
Comme de nombreux marchés internationaux sont inaccessibles en Chine en raison des réglementations locales, les mauvais acteurs exploitent activement cette lacune, inondant le marché d’applications de phishing ciblant les investisseurs en crypto.
Selon SlowMist, une société de sécurité blockchain, un groupe d'escrocs chinois a récemment commencé à distribuer une fausse version de Skype (version 8.87.0.403) pour les appareils Android sur plusieurs marchés locaux, tels que 51pgzs, siyuetian et autres. Ils incitent les victimes à croire qu'elles ont téléchargé une version légitime de l'application de chat vidéo.
Fausse application Skype pour Android sur un marché chinois | Source : Moyen
Une fois l’application malveillante installée, elle obtient des images de différents répertoires du téléphone Android et surveille en temps réel toute nouvelle image. Toutes les images stockées sur l’appareil de la victime sont ensuite téléchargées sur l’interface backend du gang de phishing.
Les analystes de SlowMist ont également appris que le gang derrière la fausse application Skype a également ciblé les utilisateurs en 2022 avec sa version frauduleuse de Binance, soulignant que les deux applications malveillantes ont un domaine backend similaire « bn-download3[dot]com ».
"Une analyse plus approfondie a révélé que 'bn-download[number]' est une série de faux domaines utilisés par ce gang de phishing spécifiquement pour le phishing Binance, indiquant que ce gang est un récidiviste ciblant spécifiquement Web3. "
Brume lente
En plus des images, l’application malveillante envoie des données au backend des acteurs malveillants, telles que des informations sur l’appareil, l’identifiant de l’utilisateur et le numéro de téléphone. Pour aggraver les choses, le faux Skype surveille même les messages entrants et sortants pour voir s'ils incluent des chaînes de format d'adresse de type TRON ou Ethereum afin de les remplacer automatiquement par des adresses prédéfinies par les fraudeurs.
Un portefeuille USDT sur TRON appartenant à un gang chinois malveillant | Source : Moyen
SlowMist a découvert que l'adresse de la chaîne TRON, qui appartient aux fraudeurs, avait reçu près de 193 000 $ en Tether (USDT) avec 110 transactions, notant que les fonds arrivaient toujours puisque la transaction la plus récente a eu lieu le 8 novembre 2023. En général, la plupart des fonds volés ont été blanchis via le service Swap de BitKeep, les frais de transaction étant couverts par un utilisateur enregistré sur l'échange crypto OKX, a souligné SlowMist
