암호화폐 사용자를 표적으로 삼기 위해 가짜 Skype 비디오 앱을 사용하는 새로운 피싱 사기가 중국에서 등장했습니다.
에 따라 암호화폐 보안 분석 회사인 SlowMist의 보고서에 따르면, 피싱 사기 배후에 있는 중국 해커는 중국의 국제 애플리케이션 금지를 사기의 근거로 삼았고, 많은 본토 사용자는 종종 제3자 플랫폼을 통해 금지된 애플리케이션을 검색했습니다.
Telegram, WhatsApp 및 Skype와 같은 소셜 미디어 응용 프로그램은 본토 사용자가 검색하는 가장 일반적인 응용 프로그램 중 하나이므로 사기꾼은 종종 이 취약점을 사용하여 암호화폐 지갑을 공격하기 위해 개발된 악성 코드가 포함된 가짜 복제 응용 프로그램을 표적으로 삼습니다.
분석 결과, SlowMist 팀은 최근 생성된 가짜 Skype 애플리케이션의 버전이 8.87.0.403이고 Skype의 최신 공식 버전은 8.107.0.215인 것을 발견했습니다. 또한 팀은 피싱 백엔드 도메인 “bn-download3.com”이 2022년 11월 23일에 바이낸스 거래소를 사칭하고 나중에 2023년 5월 23일에 Skype 백엔드 도메인을 모방하도록 변경했다는 사실도 발견했습니다. 가짜 Skype 앱은 다음과 같습니다. 동일한 사기로 인해 “상당한 금액”을 잃은 사용자가 처음 신고했습니다.
가짜 앱의 서명을 보면 악성코드를 삽입하기 위해 변조된 것으로 드러났습니다. 보안 팀은 앱을 디컴파일한 후 암호화폐 사용자를 표적으로 삼기 위해 일반적으로 사용되는 수정된 Android 네트워크 프레임워크인 “okhttp3″를 발견했습니다. 기본 okhttp3 프레임워크는 Android 트래픽 요청을 처리하지만 수정된 okhttp3은 휴대폰의 다양한 디렉터리에서 이미지를 가져오고 실시간으로 새 이미지를 모니터링합니다.
악성 okhttp3는 사용자에게 내부 파일 및 이미지에 대한 액세스 권한을 요청하며, 대부분의 소셜 미디어 응용 프로그램은 어쨌든 이러한 권한을 요청하므로 어떤 잘못도 의심하지 않는 경우가 많습니다. 따라서 가짜 Skype는 즉시 이미지, 장치 정보, 사용자 ID, 전화번호 및 기타 정보를 백엔드에 업로드하기 시작합니다.
가짜 앱에 액세스 권한이 부여되면 TRX 및 ETH와 유사한 주소 형식 문자열이 포함된 이미지와 메시지를 지속적으로 찾습니다. 이러한 주소가 탐지되면 피싱조직이 미리 설정한 악성 주소로 자동 교체됩니다.
SlowMist 테스트 중에 지갑 주소 교체가 중단되었으며, 피싱 인터페이스의 백엔드가 종료되어 더 이상 악성 주소를 반환하지 않는 것으로 나타났습니다.
또한 팀은 TRON 체인 주소(TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB)가 11월 8일까지 약 192,856 USDT를 수신했으며 해당 주소에서 총 110건의 거래가 이루어진 것을 발견했습니다. 동시에 또 다른 ETH 체인 주소(0xF90acFBe580F58f912F557B444bA1bf77053fc03)는 10번의 입금 거래에서 약 7,800 USDT를 받았습니다.
SlowMist 팀은 사기와 관련된 모든 지갑 주소를 신고하고 블랙리스트에 올렸습니다.