در گزارش وبلاگ Medium در 12 نوامبر ، پلتفرم امنیتی فاش کرد که هکرها از محدودیت چین در برنامه های بین المللی برای فریب کاربرانی که فعالانه به دنبال برنامه های ممنوعه مانند تلگرام، واتس اپ و اسکایپ در پلتفرم های شخص ثالث هستند، سوء استفاده کردند.
گروه هکر چینی یک نسخه شبیهسازیشده از برنامه ویدیویی اسکایپ را توسعه داده است که بسیار شبیه نسخه اصلی است.
تیم تحلیلی SlowMist به دقت برنامه ویدیویی تقلبی را مورد بررسی قرار داد و تفاوتی در نسخه (8.87.0403) در مقایسه با نسخه رسمی (8.107.02.215) مشاهده کرد.
تحقیقات بیشتر، امضای تغییر یافته را نشان داد که نشان دهنده درج بدافزار است. علاوه بر این، SlowMist یک نسخه اصلاح شده از چارچوب شبکه اندرویدی که به طور گسترده مورد استفاده قرار می گیرد، “okhttp3” شناسایی کرد.
برخلاف نسخه اصلی، این چارچوب تغییر یافته به تصاویر از دایرکتوریهای مختلف روی دستگاه دسترسی داشت، تهدیدی که به طور خاص برای هدف قرار دادن کاربران ارزهای دیجیتال طراحی شده است.
مهاجمان از یک استراتژی فیشینگ آزمایششده و آزمایششده استفاده کردند که برنامه ویدیویی جعلی را با بدافزار برای به خطر انداختن کیف پولهای کریپتو و سرقت وجوه جاسازی کرد.
پس از نصب، اپلیکیشن جعلی درخواست دسترسی به فایل ها و تصاویر داخلی را کرد. کاربران، که آن را به عنوان یک درخواست مجوز معمول از یک برنامه اجتماعی درک می کردند، بدون شک به همه درخواست ها پاسخ دادند.
پس از اعطای مجوز، برنامه ویدیوی مخرب دادههای حساس، از جمله تصاویر، جزئیات دستگاه کاربر، اسناد هویتی (گواهینامه رانندگی، گذرنامه، و شناسه ملی) و شماره تلفنها را در پشتیبان مهاجمان فیشینگ آپلود کرد.
با جمعآوری فعال تصاویر و پیامها، وضعیت تشدید شد. کلمات کلیدی مانند Tron (TRX) و Ether (ETH) برای شناسایی نقل و انتقالات کیف پول رمزنگاری شده بررسی شدند .
پس از شناسایی، آدرس مقصد به طور خودکار با یک آدرس مخرب که توسط گروه هکر از پیش تعیین شده است جایگزین می شود.
SlowMist تاکید کرد که استراتژی کلاهبرداری فیشینگ مشابه استراتژی مورد استفاده در یک پرونده هک جعلی بایننس (BNB) در نوامبر 2022 است.
این تیم همچنین کشف کرد که یک آدرس Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) نزدیک به 192856 Tether USDT در 110 تراکنش سپرده دریافت کرده است.
