Surgiu um novo golpe de phishing na China que usa um aplicativo de vídeo falso do Skype para enganar usuários de criptomoedas.
De acordo com um relatório da empresa de análise de segurança de criptomoedas SlowMist, os hackers chineses por trás do golpe de phishing usaram a proibição do uso de aplicativos internacionais imposta pelo governo da China para alavancar a fraude, uma vez que muitos usuários do continente frequentemente procuram esses aplicativos proibidos em plataformas de terceiros.
Aplicativos de redes sociais, como Telegram, WhatsApp e Skype, são alguns dos aplicativos mais populares entre os usuários da China continental. Cientes disso, os golpistas costumam explorar esta vulnerabilidade para enganá-los com aplicativos falsos e clonados contendo malware desenvolvido para atacar e drenar carteiras de criptomoedas.
Em sua análise, a equipe da SlowMist descobriu que o aplicativo Skype falso criado recentemente oferecia a versão 8.87.0.403, enquanto a versão oficial mais recente do Skype é a 8.107.0.215. A equipe também descobriu que o domínio de back-end de phishing “bn-download3.com” personificava a exchange Binance em 23 de novembro de 2022, mudando posteriormente para imitar um domínio de back-end do Skype em 23 de maio de 2023. O aplicativo falso do Skype foi relatado pela primeira vez por um usuário que perdeu “uma quantia significativa de dinheiro” com o golpe.
A assinatura do aplicativo falso revelou que ele havia sido adulterado para inserir malware. Depois de investigar o aplicativo, a equipe de segurança descobriu uma estrutura de rede Android modificada intitulada “okhttp3” que é comumente usada para roubar usuários de criptomoedas. A estrutura padrão do okhttp3 lida com as solicitações de tráfego do Android, mas o okhttp3 modificado obtém imagens de vários diretórios no telefone dos usuários e monitora as imagens do dispositivo em tempo real.
O okhttp3 malicioso solicita que os usuários franqueiem acesso a arquivos e imagens armazenados internamente e, como a maioria dos aplicativos de rede social solicita essas permissões de qualquer forma, eles geralmente não suspeitam de qualquer irregularidade. Assim, o Skype falso começa imediatamente a fazer upload de imagens, informações do dispositivo, ID do usuário, número de telefone e outras informações para o back-end.
Quando o aplicativo falso tem acesso, ele procura continuamente imagens e mensagens com strings de formato de endereço semelhantes aos das redes Tron (TRX) e Ether (ETH). Se esses endereços forem detectados, eles serão automaticamente substituídos por endereços maliciosos predefinidos pela quadrilha de phishing.
Durante os testes da SlowMist, verificou-se que a substituição do endereço da carteira havia sido interrompida, com o back-end da interface de phishing tendo sido desligada e não mais retornando endereços maliciosos.
A equipe também descobriu que um endereço da rede Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) havia recebido aproximadamente 192.856 Tether (USDT) até 8 de novembro, com um total de 110 transações envolvendo o endereço. Ao mesmo tempo, outro endereço de rede do ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) recebeu aproximadamente 7.800 USDT em 10 transações.
A equipe da SlowMist sinalizou e colocou na lista negra todos os endereços de carteira vinculados ao golpe.
LEIA MAIS