Zespół ds. bezpieczeństwa SlowMist dowiedział się, że fałszywa aplikacja Skype jest masowo rozpowszechniana w chińskim internecie.
Ponieważ wiele międzynarodowych rynków jest niedostępnych w Chinach ze względu na lokalne przepisy, oszuści aktywnie wykorzystują tę lukę, zalewając rynek aplikacjami phishingowymi, których celem są inwestorzy kryptowalutowi.
Według firmy zajmującej się bezpieczeństwem blockchain SlowMist, grupa chińskich oszustów niedawno zaczęła dystrybuować fałszywą wersję Skype'a — wersję 8.87.0.403 — na urządzenia z Androidem wśród wielu lokalnych rynków, takich jak 51pgzs, siyuetian i inne. Wabią ofiary, by uwierzyły, że pobrały legalną wersję aplikacji do czatu wideo.
Fałszywa aplikacja Skype na Androida na chińskim rynku | Źródło: Medium
Po zainstalowaniu złośliwej aplikacji uzyskuje ona obrazy z różnych katalogów na telefonie z Androidem i monitoruje w czasie rzeczywistym wszelkie nowe obrazy. Wszystkie obrazy przechowywane na urządzeniu ofiary są następnie przesyłane do interfejsu back-end gangu phishingowego.
Analitycy SlowMist dowiedzieli się również, że gang stojący za fałszywą aplikacją Skype obrał sobie za cel użytkowników w 2022 r. również za pomocą swojej oszukańczej wersji Binance, wskazując, że obie złośliwe aplikacje mają podobną domenę zaplecza „bn-download3[dot]com”.
„Dalsza analiza wykazała, że „bn-download[numer]” to seria fałszywych domen używanych przez ten gang phishingowy specjalnie do phishingu Binance, co wskazuje, że gang ten jest recydywistą, którego celem jest konkretnie Web3”.
Powolna Mgła
Oprócz obrazów złośliwa aplikacja wysyła do zaplecza cyberprzestępców dane, takie jak informacje o urządzeniu, identyfikator użytkownika i numer telefonu. Co gorsza, fałszywy Skype monitoruje nawet wiadomości przychodzące i wychodzące, aby sprawdzić, czy zawierają one ciągi formatów adresów typu TRON lub Ethereum, aby automatycznie zastąpić je adresami utworzonymi wcześniej przez oszustów.
Portfel USDT na TRON należący do złośliwego chińskiego gangu | Źródło: Medium
SlowMist odkrył, że adres łańcucha TRON, który należy do oszustów, otrzymał prawie 193 000 USD w Tether (USDT) w 110 transakcjach, zauważając, że środki nadal napływają, ponieważ ostatnia transakcja miała miejsce 8 listopada 2023 r. Ogólnie rzecz biorąc, większość skradzionych środków została wyprana za pośrednictwem usługi Swap firmy BitKeep, a opłaty transakcyjne pokrył użytkownik zarejestrowany na giełdzie kryptowalut OKX, podkreślił SlowMist
