هکرهای چینی از اپلیکیشن جعلی اسکایپ استفاده می‌کنند

 

شرکت امنیت ارزهای دیجیتال SlowMist چندین آدرس کیف پول مرتبط با یک کلاهبرداری فیشینگ را کشف کرده است که صدها هزار دلار را از کاربران ناآگاه رمزارزها کلاهبرداری کرده است. 

نوعی کلاهبرداری فیشینگ جدید در چین اتفاق افتاده که از یک اپلیکیشن جعلی اسکایپ برای هدف قرار دادن کاربران کریپتو استفاده می‌کند. 

طبق گزارشی که توسط شرکت تحلیل امنیت کریپتو SlowMist منتشر شده است، هکرهای چینی پشت این کلاهبرداری فیشینگ، از ممنوعیت چین روی برنامه‌های بین‌المللی به عنوان ابزار کلاهبرداری خود استفاده کردند، زیرا بسیاری از کاربران چینی اغلب این برنامه‌های ممنوعه را از طریق پلتفرم‌های شخص ثالث جستجو می‌کنند.

برنامه‌های رسانه‌های اجتماعی مانند تلگرام، واتساپ و اسکایپ برخی از رایج‌ترین برنامه‌هایی هستند که توسط کاربران چینی جستجو می‌شوند، بنابراین کلاهبرداران اغلب از این آسیب‌پذیری استفاده می‌کنند تا آنها را با برنامه‌های جعلی و شبیه‌سازی‌شده حاوی بدافزارهای توسعه‌یافته هدف قرار دهند و به کیف پول‌های ارز دیجیتال آنها حمله کنند. 

تیم SlowMist در تجزیه و تحلیل خود یافته که که اپلیکیشن جعلی اسکایپ که اخیرا ساخته شده است، نسخه 8.87.0.403 را نمایش می دهد، در حالی که آخرین نسخه رسمی اسکایپ 8.107.0.215 است. این تیم همچنین کشف کرد که دامنه بک‌اند فیشینگ «bn-download3.com» در ۲۳ نوامبر ۲۰۲۲، هویت صرافی Binance را جعل کرده است و بعداً در ۲۳ می ۲۰۲۳ هویت دامنه بک‌اند اسکایپ را جعل کرده. اپلیکیشن جعلی اسکایپ اولین بار توسط کاربری گزارش شد که «مقدار قابل توجهی پول» را به خاطر این کلاهبرداری فیشینگ از دست داده بود.

اپلیکیشن جعلی اسکایپ چگونه به ارز دیجیتال کاربران دست پیدا کرده؟ 

در کدنویسی این اپلیکیشن جعلی، فریم‌وورک دستکاری شده و مخرب okhttp3 از کاربران درخواست می‌کند تا به فایل‌ها و تصاویر داخلی دسترسی داشته باشند، و از آنجایی که اکثر برنامه‌های رسانه‌های اجتماعی به هر حال این مجوزها را می‌خواهند، اغلب کاربران بدون مشکوک شدن به این مسئله این مجوز را به برنامه می‎دهند. بنابراین، اسکایپ جعلی بلافاصله شروع به آپلود تصاویر، اطلاعات دستگاه، شناسه کاربری، شماره تلفن و سایر اطلاعات کاربر می‌کند. 

هنگامی که برنامه جعلی اسکایپ به این اطلاعات دسترسی پیدا کرد، به طور مداوم در تصاویر و پیام‌ها به دنبال آدرس‌هایی مانند آدرس ارزهای دیجیتال ترون  و اتریوم می‌گردد. اگر چنین آدرس‌هایی شناسایی شوند، به‌طور خودکار با آدرس‌های مخرب از پیش تعیین‌شده توسط گروه فیشینگ جایگزین می‌شوند.

تیم امنیتی SlowMist همچنین کشف کرد که یک آدرس زنجیره ترون  (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) تقریباً 192856 تتر در مجموعاً 110 تراکنش دریافت کرده است.

هم‌زمان، یک آدرس زنجیره اتریوم دیگر (0xF90acFBe580F58f912F557B444bA1bf77053fc03) تقریباً ۷۸۰۰ تتر در ۱۰ تراکنش دریافت کرده است. تیم SlowMist تمام آدرس‌های کیف پول مرتبط با این کلاهبرداری را در لیست سیاه قرار داده است.