JAKARTA - Sebuah skema phishing baru telah muncul di China yang menggunakan aplikasi video palsu Skype untuk menarget pengguna kripto. Menurut laporan dari perusahaan analisis keamanan kripto, SlowMist, para peretas China di balik skema phishing ini menggunakan larangan China terhadap aplikasi internasional sebagai dasar penipuan mereka, di mana banyak pengguna di China daratan sering mencari aplikasi-aplikasi yang dilarang ini melalui platform pihak ketiga.
Aplikasi media sosial seperti Telegram, WhatsApp, dan Skype adalah beberapa aplikasi paling umum yang dicari oleh pengguna di China daratan, sehingga penipu sering menggunakan kerentanannya ini untuk menarget mereka dengan aplikasi palsu yang mengandung malware yang dikembangkan untuk menyerang dompet kripto.
Dalam analisisnya, tim SlowMist menemukan bahwa aplikasi palsu Skype yang baru dibuat menampilkan versi 8.87.0.403, sedangkan versi resmi terbaru Skype adalah 8.107.0.215. Tim juga menemukan bahwa domain belakang phishing "bn-download3.com" menyamar sebagai bursa Binance pada 23 November 2022, kemudian berubah meniru domain belakang Skype pada 23 Mei 2023. Aplikasi palsu Skype pertama kali dilaporkan oleh seorang pengguna yang kehilangan "sejumlah besar uang" akibat skema serupa.
Tanda tangan aplikasi palsu tersebut menunjukkan bahwa ia telah dimanipulasi untuk menyisipkan malware. Setelah mendekompilasi aplikasi, tim keamanan menemukan kerangka kerja jaringan Android yang umum digunakan, "okhttp3," yang dimodifikasi untuk menarget pengguna kripto. Kerangka kerja okhttp3 default menangani permintaan lalu lintas Android, tetapi okhttp3 yang dimodifikasi mendapatkan gambar dari berbagai direktori di ponsel dan memantau setiap gambar baru secara real-time.
Okhttp3 yang berbahaya meminta izin pengguna untuk mengakses file dan gambar internal, dan karena sebagian besar aplikasi media sosial meminta izin ini, pengguna seringkali tidak mencurigai adanya kecurangan. Oleh karena itu, aplikasi palsu Skype segera mulai mengunggah gambar, informasi perangkat, ID pengguna, nomor telepon, dan informasi lainnya ke belakang.
BACA JUGA:
Setelah aplikasi palsu mendapatkan akses, ia terus mencari gambar dan pesan dengan format alamat mirip Tron (TRX) dan Ether (ETH). Jika alamat-alamat tersebut terdeteksi, secara otomatis digantikan dengan alamat-alamat berbahaya yang telah ditetapkan oleh kelompok phishing.
Selama pengujian oleh SlowMist, ditemukan bahwa penggantian alamat dompet telah berhenti, dengan pusat belakang antarmuka phishing ditutup dan tidak lagi mengembalikan alamat-alamat berbahaya.
Tim SlowMist juga menemukan bahwa sebuah alamat rantai Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) telah menerima sekitar 192.856 Tether (USDT) pada tanggal 8 November, dengan total 110 transaksi ke alamat tersebut. Pada saat yang sama, alamat rantai ETH lainnya (0xF90acFBe580F58f912F557B444bA1bf77053fc03) menerima sekitar 7.800 USDT dalam 10 transaksi.
Tim SlowMist mencatat dan menjadikan hitam semua alamat dompet yang terkait dengan penipuan tersebut.