告别假冒，拥抱真实：Skype钓鱼事件揭秘

防不勝防：假Skype App釣魚分析

防不胜防：假Skype App钓鱼分析

背景

嘿，各位数字资产投资者！在Web3世界，钓鱼事件频发，仿冒App的屡禁不止。你是不是也常常被假冒的应用钓了进去？别担心，我今天要给大家揭秘一起钓鱼事件，让我们一起更加警醒，避免损失！哈哈哈哈。

最近，一位受害者联系了我们的安全团队，据说他在使用从网上下载的Skype App后，惨遭资金被盗。于是，我们根据受害者提供的假Skype样本展开了分析。

揭开假Skype App的真相

• 风投公司Lightspeed Faction成立了一个为区块链初创企业提供2.85亿美元的基金
• 稳如金鳞？稳定币能否甩掉不稳定的形象？
• 从零知识开始：可编程密码学的未来何去何从？

首先，我们来看看假Skype的签名信息。一般来说，假App的签名信息跟真实App差别非常大。这个假Skype的签名信息相当简单，几乎什么都没有，所有者和发布者都是“CN”。

看样子，这个钓鱼团伙很可能是国内人，而且根据证书的生效时间，我们可以推测这个App并不是很长时间前制作的。进一步分析发现，假App使用的版本是8.87.0.403，而Skype的最新版本是8.107.0.215。

我去，这差距也太大了吧！这就好比你想要买一个超级音响，结果给你拿来了一个我大爷的口哨。别说唱歌了，连吹泡泡都费劲。

不止一家发布渠道传播了相同版本的假Skype。根据签名信息和受害者提供的样本，我们在百度上找到了好多呢。

不行，这绝对不能让这些骗子得逞！我们得对比一下真正的Skype版本，看看有什么区别。

因为APK的证书不一样，说明这个APK文件已经被篡改，并且很可能注入了恶意代码。所以，我们着手对APK进行了反编译分析。

慢雾安全团队上线，SecShell解密

呦呦呦！这个“SecShell”是APK加固后的特征，算是一般假App特有的反调试方式。钓鱼团伙经常给这些假App加一层防护壳，以防止被分析。

我们破解了这个防护壳，发现这个假App主要修改了安卓常用的网络框架okhttp3来进行恶意操作。okhttp3是负责安卓流量请求的框架，所有的请求都要经过它来处理。

修改后的okhttp3首先会获取安卓手机各个目录中的图片，并实时监控是否有新增的图片。

这些获取到的图片最后会通过网络上传到钓鱼团伙的后台接口：https://bn-download3.com/api/index/upload。

通过我们慢雾安全团队的资产测绘平台，我们发现这个钓鱼后台域名“bn-download3.com”在2022年11月23日冒充币安交易所，直到2023年5月23日才开始冒充Skype的后台域名。

越来越有意思了！我们进一步分析发现，“bn-download[number]”是该钓鱼团伙针对币安钓鱼专门使用的假域名。这些家伙真是个老炮儿了，专门瞄准Web3领域。

对网络请求包流量进行分析后，发现在打开假Skype后，被修改后的okhttp3会申请获取访问用户相册等权限。因为社交App会涉及文件传输和通话等功能，一般用户并不会怀疑这些行为。

获取到权限后，假Skype立马开始向后台上传图片、设备信息、用户名、手机号等敏感信息。

通过分析流量，我们发现测试设备手机有3张图片，所以能看到有3个upload请求。

最开始，假Skype还会向接口请求USDT列表，可是在分析的过程中我们发现服务器返回了一个空列表。这是个什么意思嘛？

后来我们才发现，假Skype监控用户传输的消息，只要匹配到TRX和ETH格式的地址，就会自动替换成钓鱼团伙预设的恶意地址。

这些恶意地址包括：

TRX: TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP

ETH: 0xF90acFBe580F58f912F557B444bA1bf77053fc03 0x03d65A25Db71C228c4BD202C4d6DbF06f772323A

除了硬编码的地址，假Skype还会通过接口带上这些恶意地址。

嘿嘿嘿，在我们的测试中，当假Skype发送地址给另外一个账号时，就发现恶意地址已经不能被替换了。看来这个钓鱼团伙已经关掉了他们的恶意地址接口。

这时分析到这里，结合钓鱼域名、网站后台的接口路径和日期时间，我们发现居然跟之前发布的假币安App事件是一个团伙作案。这帮家伙还真是个老狐狸，手法熟练！

通过反向查找域名的IP，我们发现了更多的钓鱼域名。

恶意地址分析

我们慢雾安全团队一旦发现恶意地址，会立即对其进行拉黑处理。所以，目前所提到的地址风险评分都是100分，属于严重风险。

使用MistTrack进行分析，我们发现TRON链地址(TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB)总共收到大约192856枚USDT，有110笔入金交易。目前这个地址还有一部分余额，最近一次交易是在11月8号。

继续追踪查看出金记录，发现大部分资金已经被分批转出。

继续使用MistTrack分析ETH链地址(0xF90acFBe580F58f912F557B444bA1bf77053fc03)，发现该地址共收到约7800枚USDT，有10笔入金交易，资金已经全部转移，最近一次交易是在7月11号。

我们继续分析，发现大部分资金通过BitKeep的Swap转出，手续费来源是OKX。

总结

这次被钓鱼的方式竟然是通过伪装成社交软件App来实施的。我们的慢雾安全团队也曾经披露过许多类似的案例。假App的常见行为就是上传手机上的文件和图片，还有可能上传包含用户敏感信息的数据。而且，它们会恶意替换网络传输内容，就像本文描述中修改了钱包转账目标地址一样。这样的手法在假Telegram、假交易所App中早就司空见惯了。

大家在下载使用App时，一定要多方确认，认准官方下载渠道，以免下载到恶意App造成资金损失。在这个黑暗的区块链世界，保护自己的安全可是天经地义的啊！如果想了解更多安全知识建议，可以阅读我们慢雾安全团队发布的《区块链黑暗森林自救手册》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。

来吧，投资者们，让我们紧握着双拳，告别假冒，抱着真实！保护自己、保护资产才能走向成功！

We will continue to update 算娘; if you have any questions or suggestions, please contact us!