ru
Назад к списку

Китайские хакеры придумали новую схему для кражи крипты

source-logo  ru.beincrypto.com 13 Ноябрь 2023 13:48, UTC

Специалисты обнаружили новый вид фишинговой атаки, который придумали хакеры из Китая. До мая этого года они выдавали себя за Binance

Для кражи криптовалют злоумышленники решили создать фейковое приложение Skype. Это обнаружили аналитики фирмы по блокчейн-безопасности SlowMist.

Поддельная версия видеочата и связь с Binance

Китайские мошенники пользуются действующим в стране запретом на международные приложения. Именно он вынуждает многих пользователей скачивать зарубежные мессенджеры, включая Телеграм, WhatsApp и Skype, через неофициальные платформы.

Примеры фейковых версий Skype. Источник: SlowMist

Версия поддельного Skype, который нашли аналитики SlowMist, — 8.87.0.403. При этом последняя официальная версия приложения на самом деле имеет номер 8.107.0.215.

Примечательно, что до 23 ноября 2022 года фишинговый внутренний домен «bn-download3.com», где злоумышленники разместили фейковый видеочат, выдавал себя за крупнейшую криптовалютную биржу Binance.

Как мошенники воровали криптовалюту

В отчете отмечается, что хакеры внедрили вредоносное программное обеспечение (ПО), которое модифицировало популярный сетевой фреймворк Android под названием okhttp3. Стандартная структура обрабатывает запросы трафика, а модифицированная получает изображения из различных директорий на телефоне.

С помощью вредоносного фреймворка злоумышленники получали доступ к внутренним файлам и изображениям пользователя, данным об устройстве, номеру телефона и другой информации. Это позволяло мошенникам отслеживать сообщения со строками адресов, похожих на TRON (TRX) и Ethereum (ETH). При обнаружении вредоносное ПО заменяло их на кошельки хакеров, куда и перетекали пользовательские средства.

Сообщения со строками адресов, как TRX и ETH. Источник: SlowMist

Обнаруженные кошельки

Команда SlowMist обнаружила, что на один из вредоносных адресов в сети TRON в сумме было переведено около 200 тыс. USDT. Последнюю из 110 транзакций совершали 8 ноября.

Вредоносный адрес в Tron. Источник: SlowMist

Специалисты также наткнулись на адрес в сети Ethereum. За 10 транзакций на кошелек упало 7,8 тыс. USDT. Средства перевели с помощью своп-сервиса BitKeep, а комиссию за перевод получили от криптовалютной биржи OKX.

Вредоносный адрес в Ethereum. Источник: SlowMist

В настоящий момент, как отметили в SlowMist, фишинговое приложение уже отключено.

ru.beincrypto.com