Hamis Binance alkalmazással nyúlnak le kriptót Skype-alkalmazáson keresztül
A SlowMist blokklánc-biztonsági cég egy új adathalász-támadást fedett fel, amely egy hamis Skype-alkalmazással lopott kriptókat a gyanútlan áldozatoktól.
Az áldozat közvetlenül a SlowMisttel vette fel a kapcsolatot, és elmondta, hogy a pénzét ellopták, miután letöltötte az internetről a Skype alkalmazásnak hitt app-et. Az átverés kiemeli a felhasználók sebezhetőségét. Különösen az olyan régiókban, mint Kína, ahol közvetlen letöltések helyettesítik a nem elérhető hivatalos app store-okat – írja jelentésében a SlowMist.
A Google Play elérhetetlensége miatt Kínában sok felhasználó gyakran folyamodik ahhoz, hogy közvetlenül az internetről keressen és töltsön le alkalmazásokat.
– írta a SlowMist.
„Az online elérhető hamis alkalmazások típusai azonban nem csak a pénztárcákra és a tőzsdékre korlátozódnak. Az olyan közösségi médiaalkalmazások, mint a Telegram, a WhatsApp és a Skype is erősen célpontok”.
A SlowMist ezt követő vizsgálata több vészjelet is felfedett. Az alkalmazás tanúsítványának érvényességi dátuma arra utalt, hogy szeptemberben hozták létre, az aláírási információk pedig kínai eredetre utaltak. A Baidu keresés során a SlowMist megjegyezte, hogy a hamis alkalmazás több forrása is megegyezik az áldozat által megadottal.
Hogyan lopott kriptoeszközöket a hamis alkalmazás?
A hamis Skype-alkalmazás – amelyet valódi videócsevegő eszköznek álcáznak, és rosszindulatú kódot tartalmaz – figyeli és feltölti a felhasználók eszközeiről a fájlokat és képeket, hogy érzékeny információkat szerezzen.
Mivel a Skype-hoz hasonló alkalmazásokat fájlok átvitelére és hívások lebonyolítására használják, a felhasználók általában nem gyanakodnak a tevékenységre. Így a támadók megszerezhették a felhasználói engedélyeket a fájlok feltöltéséhez, valamint az eszközinformációkat, felhasználói azonosítókat és telefonszámokat.
Pontosabban, a hamis Skype-alkalmazás figyeli a bejövő és kimenő üzeneteket, hogy azok tartalmaznak-e Ethereum vagy Tron blokklánc címeket. Ha ezeket észlelik, a SlowMist szerint ezeket a támadók ügyesen kódolt rosszindulatú címekkel helyettesítik, hogy az esetleges kifizetéseket inkább magukhoz irányítsák.
A SlowMist csapata úgy találta, hogy az egyik használt rosszindulatú Tron-címre közel 200 000 USDT (200 000 dollár) érkezett 110 befizetési tranzakció során, legutóbb november 8-án. Azonosítottak egy ETH Price címet is, amely 10 tranzakció során 7800 USDT-t kapott, amelyeket a BitKeep swap szolgáltatásával utaltak ki, a tranzakciós díjakat pedig az OKX-től kapták.
Az adathalász felület backendjét azonban mostanra leállították, és már nem küld vissza rosszindulatú címeket.
A hamis app és a Binance közötti kapcsolat
Az alkalmazáshoz kapcsolódó adathalász-domain kezdetben a Binance kriptotőzsdének adta ki magát, mielőtt májusban átváltott volna a Skype backendjének utánzására. A „bn-download[szám].com” formátumot használó hamis domainek sorát kifejezetten a Binance fake app adathalász támadásokhoz használták, ami azt jelzi, hogy a csoport általánosságban a jövedelmező web3 szektorra összpontosít, mondta a SlowMist.
A SlowMist azt tanácsolta a felhasználóknak, hogy csak a hivatalos alkalmazás letöltési csatornákat használják, és fokozzák a biztonsági tudatosságukat, hogy csökkentsék az ilyen adathalász támadásoknak való áldozatul esés kockázatát.