Chinesische Hacker verwenden eine gefälschte Skype-App, um Krypto-Nutzer in einem neuen Phishing-Betrug anzugreifen

In China hat eine kürzlich entdeckte Betrugspraxis Aufmerksamkeit erregt, bei der Betrüger eine gefälschte Skype-Video-App einsetzen, um Krypto-Nutzer zu täuschen.

Chinesisches Verbot von internationalen Anwendungen für Betrug genutzt

Laut einem Bericht des Krypto-Sicherheitsanalyseunternehmens SlowMist haben chinesische Hacker bei dem kürzlich entdeckten Phishing-Betrug das chinesische Verbot von internationalen Anwendungen als Ausgangspunkt für ihren Betrug genutzt. Viele Benutzer auf dem Festland suchen oft nach diesen verbotenen Anwendungen über Drittanbieterplattformen, was die Betrüger ausgenutzt haben.

Unter den am häufigsten gesuchten Anwendungen befinden sich soziale Medienplattformen wie Telegram, WhatsApp und Skype. Betrüger nutzen diese Schwachstelle bei der Suchanfrage geschickt aus, indem sie gefälschte, geklonte Anwendungen verbreiten, die mit Malware ausgestattet sind, die speziell für Angriffe auf Krypto-Wallets entwickelt wurde.

Aus der Analyse des SlowMist-Teams geht hervor, dass die kürzlich entdeckte gefälschte Skype-App die Version 8.87.0.403 aufwies, während die neueste offizielle Version von Skype 8.107.0.215 war. Das Team identifizierte auch das Phishing-Backend-Domain “bn-download3.com”, das am 23. November 2022 die Binance-Börse imitierte, sich jedoch am 23. Mai 2023 in eine Skype-Backend-Domain änderte. Die erste Meldung über die gefälschte Skype-App kam von einem Benutzer, der durch denselben Betrug “eine beträchtliche Menge Geld” verlor.

Manipulationsspuren wurden gefunden

Die Signatur der gefälschten App zeigte Spuren von Manipulation, um schädliche Software einzufügen. Bei der Dekompilierung der App entdeckte das Sicherheitsteam eine angepasste Version des weit verbreiteten Android-Netzwerkframeworks “okhttp3”, das darauf abzielte, gezielt Krypto-Nutzer anzugreifen. Im Gegensatz zum Standard okhttp3-Framework, das Android-Verkehrsabfragen behandelt, lädt das angepasste okhttp3-Framework Bilder aus verschiedenen Ordnern auf dem Telefon herunter und überprüft sie in Echtzeit auf neue Bilder.

Das bösartige okhttp3 fordert Benutzer auf, Berechtigungen für den Zugriff auf interne Dateien und Bilder zu erteilen. Da die meisten Social-Media-Anwendungen diese Berechtigung routinemäßig anfordern, bemerken Benutzer oft nicht, dass etwas nicht stimmt. Sobald die gefälschte Skype-App Zugriff erhalten hat, beginnt sie sofort mit dem Hochladen von Bildern, Geräteinformationen, Benutzer-ID, Telefonnummer und anderen Daten auf den Hintergrundserver.

Nachdem die gefälschte App Zugriff erhalten hat, scannt sie kontinuierlich nach Bildern und Nachrichten mit Tron- und Ethereum-ähnlichen Adressformaten. Wenn solche Adressen erkannt werden, werden sie automatisch durch bösartige Adressen ersetzt, die von der Phishing-Bande vorher festgelegt wurden.

Alle Wallets wurden identifiziert und markiert

Bei den SlowMist-Tests wurde festgestellt, dass die Manipulation der Wallet-Adresse gestoppt wurde, da das Backend der Phishing-Schnittstelle geschlossen wurde und keine schädlichen Adressen mehr zurückgeliefert wurden.

Das Team identifizierte außerdem eine Tron-Chain-Adresse TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB), die am 8. November etwa 192.856 Tether mit insgesamt 110 Transaktionen an diese Adresse erhalten hatte. Gleichzeitig erhielt eine andere Ethereum-Chain-Adresse (0xF90acFBe580F58f912F557B444bA1bf77053fc03) etwa 7.800 USDT in 10 Transaktionen.

Um weiteren Schaden zu verhindern, hat das SlowMist-Team alle mit dem Betrug verbundenen Wallet-Adressen identifiziert, markiert und auf die schwarze Liste gesetzt.