偽のSkypeアプリを使用して中国の暗号ユーザーをターゲットにした新しい詐欺

ジャカルタ-中国では、偽のビデオアプリSkypeを使用して暗号ユーザーをターゲットにした新しいフィッシングスキームが登場しました。暗号セキュリティ分析会社SlowMistの報告によると、このフィッシングスキームの背後にある中国のハッカーは、中国の国際的なアプリ禁止を詐欺の基礎として使用しており、中国本土の多くのユーザーがサードパーティのプラットフォームを介してこれらの禁止されたアプリケーションを検索することがよくあります。

Telegram、WhatsApp、Skypeなどのソーシャルメディアアプリは、中国本土のユーザーが検索する最も一般的なアプリのいくつかであるため、詐欺師はしばしばこの脆弱性を使用して、暗号ウォレットを攻撃するために開発されたマルウェアを含む偽のアプリで彼らを標的にします。

その分析において、SlowMistチームは、新しく作成された偽のSkypeアプリケーションにバージョン8.87.0.403が表示され、Skypeの最新バージョンは8.107.0.215であることを発見しました。チームはまた、「bn-klik3.com」フィッシングバックドメインが2022年11月23日にバイナンス取引所になりすまし、その後、2023年5月23日にSkypeのバックドメインに変わったことを発見しました。偽のSkypeアプリケーションは、同様のスキームのために「多額のお金」を失ったユーザーによって最初に報告されました。

偽のアプリ署名は、マルウェアを入力するために操作されたことを示します。アプリをコンパイルした後、セキュリティチームは、暗号ユーザーをターゲットにするために変更された一般的に使用されるAndroidネットワークフレームワーク「ok http3」を見つけました。デフォルトのok http3フレームワークはAndroidトラフィックの要求を処理しますが、修正されたok http3は携帯電話のさまざまなディレクトリから画像を取得し、新しい画像をリアルタイムで監視します。

悪意のあるOK http3は、ユーザーに内部のファイルや画像にアクセスする許可を求め、ほとんどのソーシャルメディアアプリがこの許可を要求するため、ユーザーはしばしば詐欺を疑わない。そのため、Skype偽のアプリは、画像、デバイス情報、ユーザーID、電話番号、その他の情報をバックアップし始めます。

偽のアプリケーションにアクセスすると、トロン(TRX)とイーサ(ETH)に似たアドレス形式の画像とメッセージを検索し続けます。これらのアドレスが検出された場合、フィッシンググループによって設定された悪意のあるアドレスに自動的に置き換えられます。

SlowMistによるテスト中、ウォレットアドレスの置き換えが停止し、フィッシングインターフェイスのバックセンターが閉じられ、悪意のあるアドレスが返されなくなったことがわかりました。

SlowMistチームはまた、トロンのチェーンアドレス(TJhqKzGQ3LzT9ih53JoyAvM ofH5EThWLQB)が11月8日に約192,856のテザー(USDT)を受け取り、アドレスへの合計110のトランザクションを受け取ったことも発見しました。同時に、別のETHチェーンアドレス(0xF90acFBe580F58f912F557B444bA1bf77053fc03)は、10トランザクションで約7,800USDTを受け取りました。

SlowMist チームは、詐欺に関連するすべてのウォレットアドレスを記録してブラックにしました。