Autors: yao

fons

Viltus lietotņu pikšķerēšanas incidenti Web3 pasaulē ir ļoti bieži, un SlowMist drošības komanda arī iepriekš ir publicējusi saistītus pikšķerēšanas analīzes rakstus. Tā kā Ķīnā nav tiešas piekļuves pakalpojumam Google Play, daudzi lietotāji bieži izvēlas tieši meklēt un lejupielādēt lietotni, ko viņi vēlas izmantot tiešsaistē. Tomēr viltotu lietotņu veidi, kas tiek pārpludināti internetā, vairs neaprobežojas tikai ar makiem un apmaiņas ierīcēm. Sociālie tīkli. Programmatūra, piemēram, Telegram, WhatsApp un Skype, ir arī vissmagāk skartās vietas.

Nesen kāds upuris sazinājās ar SlowMist drošības komandu, kurš saskaņā ar viņa aprakstu viņam bija nozagti līdzekļi, izmantojot tiešsaistē lejupielādēto Skype lietotni, tāpēc mēs veicām analīzi, pamatojoties uz upura sniegto viltus Skype pikšķerēšanas paraugu.

Viltus Skype lietotņu analīze

Vispirms analizējiet viltotās Skype paraksta informāciju. Parasti viltotās lietotnes paraksta informācijai ir neparasts saturs, kas ievērojami atšķiras no īstās lietotnes.

Mēs redzam, ka šīs viltotās lietotnes paraksta informācija ir salīdzinoši vienkārša, gandrīz bez satura, un gan īpašnieks, gan izdevējs ir "CN". Pamatojoties uz šo informāciju, var provizoriski noteikt, ka pikšķerēšanas ražošanas grupa, visticamāk, ir ķīniešu izcelsmes, un, pamatojoties uz sertifikāta spēkā stāšanās datumu 2023.9.11., var arī secināt, ka šīs lietotnes ražošanas laiks nav ilgs. Turpmāka analīze arī atklāja, ka viltotā lietotne izmanto versiju 8.87.0.403 un Skype jaunākās versijas numurs ir 8.107.0.215.

Izmantojot Baidu meklēšanu, mēs atradām vairāku identisku viltotu Skype versiju izlaišanas kanālu avotus, un paraksta informācija atbilda upura sniegtajai informācijai.

Lejupielādējiet Skype īsto 8.87.403 versiju sertifikātu salīdzināšanai:

Tā kā APK sertifikāts ir nekonsekvents, tas nozīmē, ka APK fails ir bojāts un, iespējams, tajā ir ievadīts ļaunprātīgs kods, tāpēc mēs sākām APK dekompilēt un analizēt.

SecShell ir APK funkcija, kas papildināta ar Bangbang pastiprinājumu. Šī ir arī izplatīta viltus lietotņu aizsardzības metode, lai viltotās lietotnes netiktu analizētas.

Pēc izpakotās versijas analīzes SlowMist drošības komanda konstatēja, ka viltotā lietotne galvenokārt modificēja okhttp3 — tīkla ietvaru, ko parasti izmanto Android, lai veiktu dažādas ļaunprātīgas darbības. Tā kā okhttp3 ir Android trafika pieprasījumu sistēma, visi trafika pieprasījumi tiks nosūtīti caur okhttp3 tikt galā.

Modificētais okhttp3 vispirms iegūs attēlus katrā Android mobilās ierīces direktorijā un reāllaikā pārraudzīs, vai ir jauni attēli.

Iegūtie attēli galu galā tiks augšupielādēti pikšķerēšanas grupas aizmugursistēmas saskarnē, izmantojot internetu: https://bn-download3.com/api/index/upload.

Izmantojot Weibu Online līdzekļu kartēšanas platformu, tika atklāts, ka pikšķerēšanas aizmugursistēmas domēna nosaukums “bn-download3.com” uzdodas par Binance Exchange 2022.11.23. un sācis uzdoties par Skype aizmugursistēmas domēna nosaukumu līdz 2023. 05.23.

Veicot papildu analīzi, tika atklāts, ka “bn-download[number]” ir viltots domēna nosaukums, ko pikšķerēšanas grupa izmanto tieši Binance pikšķerēšanai. Tas parāda, ka šī pikšķerēšanas grupa ir atkārtots likumpārkāpējs un ir īpaši vērsts uz Web3.

Analizējot tīkla pieprasījumu pakešu trafiku, pēc viltus Skype palaišanas un atvēršanas modificētais okhttp3 sāks pieteikties atļaujām, piemēram, piekļuvei failu albumiem. Tā kā sociālajām lietotnēm ir nepieciešama failu pārsūtīšana, tālruņa zvani utt., vidusmēra lietotāji nav piesardzīgi pret šo uzvedību. Pēc lietotāja atļauju iegūšanas viltotā Skype nekavējoties sāka augšupielādēt attēlus, ierīces informāciju, lietotājvārda ID, mobilā tālruņa numuru un citu informāciju aizmugursistēmai:

Izmantojot trafika slāņa analīzi, pārbaudītajā mobilajā tālrunī ir 3 attēli, tāpēc mēs varam redzēt, ka trafikā ir 3 augšupielādes pieprasījumi.

Operācijas sākumā viltotā Skype pieprasīs arī USDT sarakstu no saskarnes (https://bn-download3.com/api/index/get_usdt_list2?channel=605), taču analīzes laikā tika konstatēts, ka serveris atgrieza tukšu sarakstu:

Pārbaudot kodu, mēs noskaidrojām, ka viltotais Skype pārraudzīs, vai atbilstošajos nosūtītajos un saņemtajos ziņojumos ir TRX un ETH tipa adreses formāta virknes, ja tā tiks automātiski aizstāta ar pikšķerēšanas grupas iepriekš iestatīto ļaunprātīgo adresi.

Attiecīgās ļaunprātīgās adreses ir šādas:

TRX:

TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB

TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP

ETH:

0xF90acFBe580F58f912F557B444bA1bf77053fc03

0x03d65A25Db71C228c4BD202C4d6DbF06f772323A

Papildus kodētajai adresei viltotā Skype arī dinamiski iegūst ļaunprātīgo adresi, izmantojot saskarni "https://bn-download8.com/api/index/reqaddV2".

Pašlaik, pārbaudot viltotās Skype adreses nosūtīšanai uz citu kontu, tiek konstatēts, ka adreses nomaiņa vairs netiek veikta, un pikšķerēšanas interfeisa aizmugursistēmas saskarne ir aizvērta, lai atgrieztu ļaunprātīgo adresi.

Šajā analīzes brīdī kopā ar pikšķerēšanas domēna nosaukumu, saskarnes ceļu un vietnes aizmugursistēmas datumu un laiku esam to saistījuši ar viltus Binance App analīzi “Li Kui vai Li Gui”, kas tika izlaista 2022. gada 8. novembrī? Fake Binance APP pikšķerēšanas analīze", pēc analīzes tika konstatēts, ka abus incidentus faktiski izdarījusi viena un tā pati pikšķerēšanas banda.

Vairāk pikšķerēšanas domēna nosaukumu tika atklāti, izmantojot IP reverso domēna nosaukumu pārbaudi.

Ļaunprātīgas adreses analīze

SlowMist drošības komanda pēc tās analīzes nekavējoties bloķēja ļaunprātīgo adresi. Tāpēc iepriekšminēto adrešu pašreizējais riska rādītājs ir 100 punkti, kas ir nopietns risks.

Izmantojot MistTrack analīzi, tika konstatēts, ka TRON ķēdes adrese (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) kopumā ir saņēmusi aptuveni 192 856 USDT un 110 depozītu darījumus. Šajā adresē joprojām ir neliels atlikums, un pēdējais darījums tika veikts 8. novembrī.

Turpinot izsekot izņemšanas ierakstiem, mēs atklājām, ka lielākā daļa līdzekļu tika pārskaitīti pa partijām.

Turpiniet izmantot MistTrack, lai analizētu ETH ķēdes adresi (0xF90acFBe580F58f912F557B444bA1bf77053fc03).

Turpinot analīzi, mēs atklājām, ka lielākā daļa līdzekļu tika pārskaitīti, izmantojot BitKeep mijmaiņas darījumu, un apstrādes maksas avots bija OKX.

Apkopojiet

Šoreiz kopīgotais pikšķerēšanas kanāls tika ieviests, izmantojot viltotas sociālās programmatūras lietotnes, un arī SlowMist drošības komanda ir atklājusi daudzus līdzīgus gadījumus. Viltus lietotņu izplatītas darbības ietver failu attēlu augšupielādi no mobilajiem tālruņiem, datu augšupielādi, kas var saturēt sensitīvu lietotāja informāciju, kā arī ļaunprātīgu tīkla pārraides satura aizstāšanu, piemēram, šajā rakstā norādīto maka pārsūtīšanas mērķa adreses mainīšanu. Šī metode ir izplatīta viltotās telegrammās un viltotas apmaiņas lietotnes.

Lietotājiem joprojām ir jāapstiprina ar vairākām pusēm, lejupielādējot un izmantojot APP, un meklēt oficiālus lejupielādes kanālus, lai izvairītos no ļaunprātīgu APP lejupielādes un finansiālu zaudējumu rašanās. Blokķēdes tumšā meža pasaule pieprasa lietotājiem nepārtraukti uzlabot savu drošības izpratni un izvairīties no maldināšanas. Lai iegūtu plašākas zināšanas par drošību, ieteicams izlasīt SlowMist drošības komandas izstrādāto "Blockchain Dark Forest Self-Rescue Handbook": https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .