Специалисты обнаружили новый вид фишинговой атаки, который придумали хакеры из Китая. До мая этого года они выдавали себя за Binance
Для кражи криптовалют злоумышленники решили создать фейковое приложение Skype. Это обнаружили аналитики фирмы по блокчейн-безопасности SlowMist.
Поддельная версия видеочата и связь с Binance
Китайские мошенники пользуются действующим в стране запретом на международные приложения. Именно он вынуждает многих пользователей скачивать зарубежные мессенджеры, включая Телеграм, WhatsApp и Skype, через неофициальные платформы.
Версия поддельного Skype, который нашли аналитики SlowMist, — 8.87.0.403. При этом последняя официальная версия приложения на самом деле имеет номер 8.107.0.215.
Примечательно, что до 23 ноября 2022 года фишинговый внутренний домен «bn-download3.com», где злоумышленники разместили фейковый видеочат, выдавал себя за крупнейшую криптовалютную биржу Binance.
Как мошенники воровали криптовалюту
В отчете отмечается, что хакеры внедрили вредоносное программное обеспечение (ПО), которое модифицировало популярный сетевой фреймворк Android под названием okhttp3. Стандартная структура обрабатывает запросы трафика, а модифицированная получает изображения из различных директорий на телефоне.
С помощью вредоносного фреймворка злоумышленники получали доступ к внутренним файлам и изображениям пользователя, данным об устройстве, номеру телефона и другой информации. Это позволяло мошенникам отслеживать сообщения со строками адресов, похожих на TRON (TRX) и Ethereum (ETH). При обнаружении вредоносное ПО заменяло их на кошельки хакеров, куда и перетекали пользовательские средства.
Обнаруженные кошельки
Команда SlowMist обнаружила, что на один из вредоносных адресов в сети TRON в сумме было переведено около 200 тыс. USDT. Последнюю из 110 транзакций совершали 8 ноября.
Специалисты также наткнулись на адрес в сети Ethereum. За 10 транзакций на кошелек упало 7,8 тыс. USDT. Средства перевели с помощью своп-сервиса BitKeep, а комиссию за перевод получили от криптовалютной биржи OKX.
В настоящий момент, как отметили в SlowMist, фишинговое приложение уже отключено.