Китайські хакери використовують підроблений додаток Skype для крадіжки криптовалюти

Компанія SlowMist, що займається криптографічною безпекою, виявила нову фішингову аферу, в якій китайські хакери використовують підроблений додаток Skype для крадіжки криптовалюти.

Фішинговий додаток, який має назву «Skype», має номер версії 8.87.0.403, що нижче, ніж остання версія офіційного додатка Skype, яка має номер версії 8.107.0.215. Хакери також створили фішинговий бекенд-домен «bn-download3.com», який видавав себе за біржу Binance, а пізніше змінили його на бекенд-домен Skype.

Під час аналізу додатка команда SlowMist виявила, що він модифікував загальновживаний мережевий фреймворк Android під назвою okhttp3, щоб націлитися на користувачів криптовалют. Модифікований okhttp3 отримує зображення з різних каталогів на телефоні та відстежує будь-які нові зображення в режимі реального часу.

Шкідливий okhttp3 просить користувачів надати доступ до внутрішніх файлів і зображень. Коли користувачі надають доступ, додаток починає завантажувати зображення, інформацію про пристрій, ідентифікатор користувача, номер телефону та іншу інформацію на сервер.

Отримавши доступ, додаток безперервно шукає зображення та повідомлення з адресами, схожими на TRX та ETH. Якщо такі адреси виявляються, вони автоматично замінюються шкідливими адресами, заздалегідь встановленими фішинговою групою.

Команда SlowMist виявила, що на адресу ланцюжка TRON до 8 листопада надійшло приблизно 192 856 USDT, а всього на цю адресу було здійснено 110 транзакцій. Водночас, на іншу адресу ланцюжка ETH надійшло близько 7800 USD в результаті 10 депозитних транзакцій.

Загалом було виявлено та внесено до чорного списку понад 100 шкідливих адрес, пов’язаних з цією аферою.

Нагадаємо, фішингові атаки з використанням генеративного ШІ зросли на 1265%.