Aplicația falsă Skype este distribuită intens pe internetul chinez, a aflat echipa de securitate SlowMist.
Deoarece multe piețe internaționale sunt inaccesibile în China din cauza reglementărilor locale, actorii răi exploatează în mod activ acest decalaj, inundând piața cu aplicații de phishing care vizează investitorii cripto.
Potrivit unei firme de securitate blockchain SlowMist, un grup de escroci chinezi a început recent să distribuie o versiune falsă a Skype — versiunea 8.87.0.403 — pentru dispozitive Android în mai multe piețe locale, cum ar fi 51pgzs, siyuetian și altele. Ademenesc victimele să creadă că au descărcat o versiune legitimă a aplicației de chat video.
Aplicație falsă Skype pentru Android pe o piață chineză | Sursa: Mediu
Odată instalată aplicația rău intenționată, aceasta obține imagini din diverse directoare de pe telefonul Android și monitorizează în timp real orice imagini noi. Toate imaginile stocate pe dispozitivul victimei sunt apoi încărcate în interfața de backend a bandei de phishing.
Analiștii de la SlowMist au mai aflat că banda din spatele aplicației false Skype a vizat și utilizatorii în 2022 cu versiunea sa înșelătorie a Binance, subliniind că ambele aplicații rău intenționate au un domeniu backend similar „bn-download3[dot]com”.
„O analiză ulterioară a arătat că „bn-download[number]” este o serie de domenii false utilizate de această bandă de phishing special pentru phishing-ul Binance, ceea ce indică faptul că această bandă este un infractor recidiv care vizează în mod specific Web3.”
SlowMist
Pe lângă imagini, aplicația rău intenționată trimite date către backend-ul actorilor răi, cum ar fi informații despre dispozitiv, ID-ul utilizatorului și numărul de telefon. Pentru a înrăutăți lucrurile, Skype fals monitorizează chiar și mesajele primite și trimise pentru a vedea dacă includ șiruri de format de adrese de tip TRON sau Ethereum pentru a le înlocui automat cu adrese prefabricate de escroci.
Un portofel USDT pe TRON aparținând unei bande chineze rău intenționate | Sursa: Mediu
SlowMist a aflat că adresa lanțului TRON, care aparține escrocilor, a primit aproape 193.000 USD în Tether (USDT) cu 110 tranzacții, menționând că fondurile încă mai vin, deoarece cea mai recentă tranzacție a fost pe 8 noiembrie 2023. În general, majoritatea fondurilor furate au fost spălate prin serviciul Swap al BitKeep, taxele de tranzacție fiind acoperite de un utilizator înregistrat pe schimbul de criptomonede OKX, a subliniat SlowMist.
