新诈骗使用Skype虚假应用程序针对中国的加密用户

雅加达 - 中国出现了一项新的网络钓鱼计划,该计划使用虚假的视频应用程序Skype来针对加密用户。根据加密安全分析公司SlowMist的一份报告,这一网络钓鱼计划背后的中国黑客利用中国对国际应用程序的禁令作为他们欺诈的依据,中国大陆的许多用户经常通过第三方平台搜索这些被禁止的应用程序。

Telegram、WhatsApp、Skype 等社交媒体应用程序是中国大陆用户通缉的最常见的应用程序之一,因此欺诈者经常使用这些漏洞来针对他们,这些虚假应用程序包含为攻击加密钱包而开发的恶意软件。

SlowMist 团队在分析中发现,新创建的虚假 应用程序 Skype 显示版本 8.87.0.403,而最新官方版本的 Skype 是 8.107.0.215。该团队还发现,网络钓鱼 后域 “bn-download3.com” 于2022年11月23日伪装成币安交易所,然后于2023年5月23日更改 模仿 Skype 后域。虚假的Skype应用程序首先被一名用户报告,该用户因类似的计划而损失了“大笔钱”。

虚假应用程序的签名表明,它已被操纵以嵌入恶意软件。在编译应用程序后,安全团队发现了一个常用的Android网络框架,“okhttp3”,该框架被修改以针对加密用户。默认情况下, Okhttp3 框架 会处理 Android 流量请求,但改装的 okhttp3 会从手机上的各种目录获取图像,并实时监控每张新图像。

恶意的 Okhttp3 要求用户获取访问内部文件和图像的权限,由于大多数社交媒体应用程序都要求此权限,因此用户通常不怀疑欺诈行为。因此,虚假的Skype应用程序立即开始向后上传图像、设备信息、用户ID、电话号码和其他信息。

虚假应用程序接入后,它继续搜索类似于Tron(TRX)和ETH(ETH)的地址格式的图像和消息。如果检测到这些地址,它们将自动被网络钓鱼组设置的恶意地址所取代。

SlowMist 的 测试 期间,发现钱包 地址 的替换已停止, 网络钓鱼 界面 的后中心 关闭, 不再返回恶意 地址。

SlowMist团队还发现,Tron连锁地址(TJhqzGQ3LzT9ih53JoyAvMnnH5EThWLQB)于11月8日收到了约192,856 Tether(USDT),总计110笔交易。与此同时,其他ETH连锁地址(0xF90acFBe580F58f912F557B444bA1bf77053fc03)在10笔交易中收到了约7,800 USDT。

SlowMist 团队 记录并使所有与欺诈相关的钱包地址变黑。