Компания SlowMist, занимающаяся безопасностью блокчейнов, сообщила о новой фишинговой атаке с использованием поддельного приложения Skype с целью кражи криптовалютных средств у ничего не подозревающей жертвы.
Жертва напрямую связалась с SlowMist, объяснив, что его средства были украдены после загрузки из Интернета того, что, по его мнению, было приложением Skype. Мошенничество подчеркивает уязвимость, с которой сталкиваются пользователи, особенно в таких регионах, как Китай, где прямые загрузки заменяют недоступные официальные магазины приложений, говорится в сообщении SlowMist.
«Из-за недоступности Google Play в Китае многие пользователи часто прибегают к поиску и загрузке приложений непосредственно из Интернета», — пишет SlowMist. «Однако типы поддельных приложений, доступных в Интернете, не ограничиваются только кошельками и биржами. Приложения социальных сетей, такие как Telegram, WhatsApp и Skype, также подвергаются серьезной атаке».
Последующее расследование SlowMist выявило несколько тревожных сигналов: дата вступления в силу сертификата приложения намекает на то, что оно было создано в сентябре, а информация в подписи указывает на китайское происхождение. Поиск Baidu обнаружил несколько источников фейкового приложения, соответствующих тому, который предоставил жертва, отметил SlowMist.
Как фейковое приложение украло криптофонды
Поддельное приложение Skype, замаскированное под настоящий инструмент видеочата и оснащенное вредоносным кодом, отслеживает и загружает файлы и изображения с устройств пользователей в попытке перехватить конфиденциальную информацию.
По словам SlowMist, поскольку такие приложения, как Skype, используются для передачи файлов и совершения звонков, пользователи обычно не подозревают об этой активности, что позволяет злоумышленникам получить разрешения пользователей на загрузку файлов, а также информацию об устройстве, идентификаторы пользователей и номера телефонов.
В частности, поддельное приложение Skype отслеживает входящие и исходящие сообщения, чтобы определить, содержат ли они Ethereum или Tron адреса блокчейна. По словам SlowMist, в случае обнаружения злоумышленники заменяют их жестко запрограммированными и динамическими вредоносными адресами, пытаясь вместо этого направить любые платежи себе.
Команда SlowMist обнаружила один из вредоносных Tron На используемые адреса было получено около 200 000 долларов США (200 000 долларов США) за 110 депозитных транзакций, последний раз 8 ноября. Он также определил адрес Ethereum, который получил 7 800 долларов США в 10 транзакциях, которые были переведены с использованием службы свопа BitKeep, при этом комиссии за транзакцию были получены от ОКХ.
Однако серверная часть фишингового интерфейса теперь отключена и больше не возвращает вредоносные адреса, отмечает SlowMist.
Binance ложное подключение к приложению
Примечательно, что фишинговый домен, связанный с приложением, изначально выдавал себя за криптовалютную биржу. Binance перед переходом на имитацию серверной части Skype в мае. Серия фейковых доменов формата «bn-download».[number].com» специально использовались для Binance ложные фишинговые атаки на приложения, что указывает на общую ориентацию группы на прибыльный сектор web3, сообщил SlowMist.
SlowMist посоветовал пользователям использовать только официальные каналы загрузки приложений и повысить свою осведомленность о безопасности, чтобы снизить риск стать жертвой таких фишинговых атак.
