Chinese hackers gebruiken een nep-Skype-app om crypto-gebruikers te targeten in nieuwe phishing-scam

In China heeft een recent ontdekte oplichtingspraktijk de aandacht getrokken, waarbij fraudeurs een nep-Skype-video-app inzetten om crypto-gebruikers te misleiden.

Chinees verbod op internationale applicaties gebruikt voor bedrog

Volgens een rapport van het crypto-beveiligingsanalysebedrijf SlowMist hebben Chinese hackers bij de recent ontdekte phishing-scam het Chinese verbod op internationale applicaties als uitgangspunt gebruikt voor hun bedrog. Veel gebruikers op het vasteland zoeken vaak naar deze verboden applicaties via platforms van derden, wat de oplichters hebben aangegrepen.

Onder de meest gezochte toepassingen bevinden zich sociale-mediaplatforms zoals Telegram, WhatsApp en Skype. Oplichters maken handig gebruik van deze zoekvraagkwetsbaarheid door valse, gekloonde toepassingen te verspreiden, voorzien van malware die specifiek is ontwikkeld om crypto-wallets aan te vallen.

Uit de analyse van het SlowMist-team blijkt dat de recent ontdekte nep-Skype-applicatie versie 8.87.0.403 vertoonde, terwijl de nieuwste officiële versie van Skype 8.107.0.215 was. Daarnaast identificeerde het team het phishing-back-enddomein “bn-download3.com” dat op 23 november 2022 de Binance-uitwisseling nabootste, maar later op 23 mei 2023 werd gewijzigd naar een Skype-back-enddomein. De eerste melding van de nep-Skype-app kwam van een gebruiker die “een aanzienlijke hoeveelheid geld” verloor door dezelfde scam.

Sporen van manipulatie zijn gevonden

De handtekening van de nagemaakte app onthulde sporen van manipulatie om schadelijke software in te voegen. Bij het decompileren van de app ontdekte het beveiligingsteam een aangepaste versie van het veelgebruikte Android-netwerkframework “okhttp3”, dat gericht was op het doelbewust targeten van crypto-gebruikers. In tegenstelling tot het standaard okhttp3-framework, dat Android-verkeersverzoeken afhandelt, haalt het aangepaste okhttp3-framework afbeeldingen op uit verschillende mappen op de telefoon en controleert het in realtime op nieuwe afbeeldingen.

De boosaardige okhttp3 vraagt gebruikers toestemming om toegang te verlenen tot interne bestanden en afbeeldingen. Aangezien de meeste sociale media-applicaties deze toestemming routinematig vragen, merken gebruikers vaak niet dat er iets mis is. Zodra de nep-Skype-app toegang heeft gekregen, start deze onmiddellijk met het uploaden van afbeeldingen, apparaatinformatie, gebruikers-ID, telefoonnummer en andere gegevens naar de achterliggende server.

Eenmaal toegang verkregen, scant de nep-app continu naar afbeeldingen en berichten met Tron- en Ethereum-achtige adresformaten. Wanneer dergelijke adressen worden gedetecteerd, worden ze automatisch vervangen door kwaadaardige adressen die eerder zijn ingesteld door de phishing-bende.

Alle wallets zijn geïndentificeerd en gemarkeerd

Bij de SlowMist-tests werd vastgesteld dat de manipulatie van het wallet-adres was gestopt, aangezien de back-end van de phishing-interface werd afgesloten en geen schadelijke adressen meer retourneerde.

Het team identificeerde bovendien een Tron-ketenadres (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) dat op 8 november ongeveer 192.856 Tether had ontvangen, met in totaal 110 transacties naar dat adres. Tegelijkertijd ontving een ander Ethereum-ketenadres (0xF90acFBe580F58f912F557B444bA1bf77053fc03) ongeveer 7.800 USDT in 10 transacties.

Om verdere schade te voorkomen, heeft het SlowMist-team alle wallet-adressen die aan de scam zijn gekoppeld, geïdentificeerd, gemarkeerd en op de zwarte lijst gezet.