SlowMist, een vooraanstaand bedrijf in crypto-beveiligingsanalyse, heeft onlangs een geraffineerde phishingaanval onthuld die zich richt op gebruikers van cryptocurrency.
Deze zwendel, uitgevoerd door Chinese hackers, maakt gebruik van China’s verbod op internationale applicaties, waardoor veel gebruikers op het vasteland deze verboden apps zoeken via platforms van derden.
Nabootsen van domeinen
De oplichters richten zich op populaire sociale media-applicaties zoals Telegram, WhatsApp en Skype, die vaak worden gezocht door gebruikers in het vasteland van China. Deze applicaties worden gekloond en voorzien van malware die specifiek is ontworpen om crypto-wallets aan te vallen.
Het SlowMist-team ontdekte dat de recent gecreëerde nep-Skype-app, met versienummer 8.87.0.403, afweek van de nieuwste officiële versie van Skype, 8.107.0.215. Ze ontdekten ook dat het phishing-domein “bn-download3.com” oorspronkelijk de Binance-exchange imiteerde op 23 november 2022, maar later op 23 mei 2023 veranderde om een Skype back-end domein na te bootsen. De nep-app werd voor het eerst gerapporteerd door een gebruiker die “een aanzienlijk bedrag aan geld” verloor aan dezelfde zwendel.
De nep-app bleek te zijn aangepast om malware te bevatten. Na decompilatie ontdekte het beveiligingsteam een aangepast Android-netwerkframework, “okhttp3”, dat gericht was op crypto-gebruikers. Dit aangepaste framework verkrijgt afbeeldingen van verschillende mappen op de telefoon en monitort in realtime op nieuwe afbeeldingen.
Kwaadaardige adressen
Het kwaadaardige okhttp3 vraagt gebruikers om toegang te geven tot interne bestanden en afbeeldingen, en aangezien de meeste sociale media-applicaties toch al om deze toestemmingen vragen, vermoeden gebruikers vaak geen kwaad. Zo begint de nep-Skype onmiddellijk afbeeldingen, apparaatinformatie, gebruikers-ID, telefoonnummer en andere informatie naar de back-end te uploaden.
Zodra de nep-app toegang heeft, zoekt het continu naar afbeeldingen en berichten met Tron- en Ethereum (ETH) achtige adresformaatstrings. Als dergelijke adressen worden gedetecteerd, worden ze automatisch vervangen door kwaadaardige adressen die vooraf zijn ingesteld door de phishingbende.
Tijdens het testen door SlowMist werd ontdekt dat de vervanging van walletadressen was gestopt, met de back-end van de phishing-interface die werd afgesloten en geen kwaadaardige adressen meer retourneerde.
Het team ontdekte ook dat een Tron-ketenadres (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) ongeveer 192.856 Tether (USDT) had ontvangen tegen 8 november, met in totaal 110 transacties naar het adres. Tegelijkertijd ontving een ander ETH-ketenadres (0xF90acFBe580F58f912F557B444bA1bf77053fc03) ongeveer 7.800 USDT in 10 transacties.
Het SlowMist-team heeft alle walletadressen die aan de zwendel zijn gekoppeld, gemarkeerd en geblacklist.
