摘要:一件不幸的事件曝光,一名用户在使用了一款非常受欢迎的应用程序Skype的假冒版本后丢失了他的加密货币。据慢雾科技称,攻击者使用了一种久经考验的网络钓鱼策略来窃取用户的资金,其中虚假的Skype应用程序会询问用户是否允许访问用户的个人信息。...
加密货币和 Web3 的世界饱受与虚假应用程序和网络钓鱼尝试相关的危险困扰,它们以快速、轻松赚钱的承诺来欺骗毫无戒心的受害者。
一件不幸的事件曝光,一名用户在使用了一款非常受欢迎的应用程序 Skype 的假冒版本后丢失了他的加密货币。
假冒 Skype 应用窃取加密货币
区块链安全公司 SlowMist 曝光了这一事件,描述了一起不幸的事件,一名用户在使用高度流行的社交平台 Skype 的假冒版本后损失了大量资金。慢雾已经发表了多篇分析网络钓鱼案例的文章。据分析,该用户从不可信的在线来源下载了该应用程序。
初步调查显示,假冒应用程序和黑客攻击背后的黑客与负责类似假币安应用程序的中国黑客是同一个人。该黑客组织因针对 Web3 交易而臭名昭著。据慢雾科技称,攻击者使用了一种久经考验的网络钓鱼策略来窃取用户的资金,其中虚假的 Skype 应用程序会询问用户是否允许访问用户的个人信息。
由于Google Play在中国无法访问,用户倾向于直接从互联网上搜索和下载应用程序。该团队警告说,此类虚假应用程序不仅限于钱包和交易所,还包括社交媒体平台。
“然而,在线假冒应用程序的类型不仅限于钱包和交易所。 Telegram、WhatsApp 和 Skype 等社交媒体应用程序也成为重点攻击目标。”
用户不怀疑有不正当行为
用户倾向于将假冒 Skype 应用程序视为任何其他社交应用程序,这就是为什么他们不怀疑任何不法行为并授予该应用程序所需的权限。获得访问权限后,该应用程序开始向黑客的后端界面上传数据,包括图像、设备信息和电话号码。
此后,该应用程序开始跟踪用户的消息历史记录,搜索以太坊(ETH)、加密货币和波场(TRX)等词语。将检查这些单词以检测任何加密钱包。如果黑客发现了加密钱包,黑客就会将目标地址替换为黑客自己设置的地址。
据慢雾科技统计,恶意波场地址通过 110 笔充值交易存入近 192,856 USDT。与此同时,ETH链上存入了7,800 USDT,存入了超过10笔交易。慢雾已将相关地址列入黑名单,但也敦促用户在从互联网下载应用程序时要小心谨慎。它还敦促用户通过官方渠道下载应用程序,而不是冒险直接从互联网上下载。
虚假应用程序分析
慢雾还透露,他们对假冒Skype应用程序的签名信息进行了分析,并补充说,假冒应用程序的签名信息存在多个异常,与正版应用程序的签名信息不同。分析发现,该假冒应用程序的签名信息非常简单,其所有者和发布者均标记为CN。分析还显示,该证书的生效日期是 2023 年 9 月 11 日,这意味着该应用程序创建的时间并不长。
“由于APK的证书不匹配,表明该APK文件已被篡改,很可能被注入恶意代码。因此,我们开始了APK的反编译和分析过程。慢雾安全团队对未封装版本进行分析后发现,该假冒App主要修改了Android常用的网络框架okhttp3来执行各种恶意操作。由于okhttp3是处理Android流量请求的框架,所以所有流量请求都是通过okhttp3处理的。”
免责声明:本文仅供参考。它不提供或旨在用作法律、税务、投资、财务或其他建议。
