Специалисты из компании SlowMist рассказали, что подробно изучили действия криптовалютных мошенников. Исследователи подчеркнули, что из-за недоступности онлайн-маркета Google Play в Китае многие пользователи часто прибегают к поиску и загрузке приложений непосредственно из браузера. Однако некоторые злоумышленники выкладывают в сеть не только фейковые кошельки и биржи, а такие приложения как Telegram, WhatsApp и Skype.
К примеру, исследователи проанализировали информацию о подписи одного из поддельных приложений Skype. Как правило, данные содержат аномалии и значительно отличается от сведений из официальной программы. Так было и на этот раз.
Аналитики подчеркнули, что информация о подписи фальшивого приложения довольно простая и почти пустая, а владелец и издатель помечены как CN. На этом основании исследователи сделали вывод, что мошенники находятся в Китае.
Используя поиск Baidu, специалисты обнаружили несколько источников одной и той же поддельной версии Skype. Проанализировав сведения, команда безопасности SlowMist увидела, что поддельное приложение модифицировало широко используемую сетевую структуру Android, okhttp3, для выполнения различных вредоносных операций.
С помощью платформы сопоставления активов Weibu обнаружено, что фишинговый серверный домен bn-download3 com выдавал себя за биржу Binance 23 ноября 2022 года. Однако 23 мая 2023 года он начал выдавать себя за Skype.
Дальнейшее исследование кода продемонстрировало, что поддельный Skype отслеживает входящие и исходящие сообщения, чтобы увидеть, содержат ли они строки формата адреса TRX и ETH. Если они обнаружены, то они автоматически заменяются вредоносными адресами, заранее заданными мошенниками.