告别假冒,拥抱真实:Skype钓鱼事件揭秘
防不勝防:假Skype App釣魚分析
防不胜防:假Skype App钓鱼分析
背景
嘿,各位数字资产投资者!在Web3世界,钓鱼事件频发,仿冒App的屡禁不止。你是不是也常常被假冒的应用钓了进去?别担心,我今天要给大家揭秘一起钓鱼事件,让我们一起更加警醒,避免损失!哈哈哈哈。
最近,一位受害者联系了我们的安全团队,据说他在使用从网上下载的Skype App后,惨遭资金被盗。于是,我们根据受害者提供的假Skype样本展开了分析。
揭开假Skype App的真相
首先,我们来看看假Skype的签名信息。一般来说,假App的签名信息跟真实App差别非常大。这个假Skype的签名信息相当简单,几乎什么都没有,所有者和发布者都是“CN”。
看样子,这个钓鱼团伙很可能是国内人,而且根据证书的生效时间,我们可以推测这个App并不是很长时间前制作的。进一步分析发现,假App使用的版本是8.87.0.403,而Skype的最新版本是8.107.0.215。
我去,这差距也太大了吧!这就好比你想要买一个超级音响,结果给你拿来了一个我大爷的口哨。别说唱歌了,连吹泡泡都费劲。
不止一家发布渠道传播了相同版本的假Skype。根据签名信息和受害者提供的样本,我们在百度上找到了好多呢。
不行,这绝对不能让这些骗子得逞!我们得对比一下真正的Skype版本,看看有什么区别。
因为APK的证书不一样,说明这个APK文件已经被篡改,并且很可能注入了恶意代码。所以,我们着手对APK进行了反编译分析。
慢雾安全团队上线,SecShell解密
呦呦呦!这个“SecShell”是APK加固后的特征,算是一般假App特有的反调试方式。钓鱼团伙经常给这些假App加一层防护壳,以防止被分析。
我们破解了这个防护壳,发现这个假App主要修改了安卓常用的网络框架okhttp3来进行恶意操作。okhttp3是负责安卓流量请求的框架,所有的请求都要经过它来处理。
修改后的okhttp3首先会获取安卓手机各个目录中的图片,并实时监控是否有新增的图片。
这些获取到的图片最后会通过网络上传到钓鱼团伙的后台接口:https://bn-download3.com/api/index/upload。
通过我们慢雾安全团队的资产测绘平台,我们发现这个钓鱼后台域名“bn-download3.com”在2022年11月23日冒充币安交易所,直到2023年5月23日才开始冒充Skype的后台域名。
越来越有意思了!我们进一步分析发现,“bn-download[number]”是该钓鱼团伙针对币安钓鱼专门使用的假域名。这些家伙真是个老炮儿了,专门瞄准Web3领域。
对网络请求包流量进行分析后,发现在打开假Skype后,被修改后的okhttp3会申请获取访问用户相册等权限。因为社交App会涉及文件传输和通话等功能,一般用户并不会怀疑这些行为。
获取到权限后,假Skype立马开始向后台上传图片、设备信息、用户名、手机号等敏感信息。
通过分析流量,我们发现测试设备手机有3张图片,所以能看到有3个upload请求。
最开始,假Skype还会向接口请求USDT列表,可是在分析的过程中我们发现服务器返回了一个空列表。这是个什么意思嘛?
后来我们才发现,假Skype监控用户传输的消息,只要匹配到TRX和ETH格式的地址,就会自动替换成钓鱼团伙预设的恶意地址。
这些恶意地址包括:
TRX: TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP
ETH: 0xF90acFBe580F58f912F557B444bA1bf77053fc03 0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
除了硬编码的地址,假Skype还会通过接口带上这些恶意地址。
嘿嘿嘿,在我们的测试中,当假Skype发送地址给另外一个账号时,就发现恶意地址已经不能被替换了。看来这个钓鱼团伙已经关掉了他们的恶意地址接口。
这时分析到这里,结合钓鱼域名、网站后台的接口路径和日期时间,我们发现居然跟之前发布的假币安App事件是一个团伙作案。这帮家伙还真是个老狐狸,手法熟练!
通过反向查找域名的IP,我们发现了更多的钓鱼域名。
恶意地址分析
我们慢雾安全团队一旦发现恶意地址,会立即对其进行拉黑处理。所以,目前所提到的地址风险评分都是100分,属于严重风险。
使用MistTrack进行分析,我们发现TRON链地址(TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB)总共收到大约192856枚USDT,有110笔入金交易。目前这个地址还有一部分余额,最近一次交易是在11月8号。
继续追踪查看出金记录,发现大部分资金已经被分批转出。
继续使用MistTrack分析ETH链地址(0xF90acFBe580F58f912F557B444bA1bf77053fc03),发现该地址共收到约7800枚USDT,有10笔入金交易,资金已经全部转移,最近一次交易是在7月11号。
我们继续分析,发现大部分资金通过BitKeep的Swap转出,手续费来源是OKX。
总结
这次被钓鱼的方式竟然是通过伪装成社交软件App来实施的。我们的慢雾安全团队也曾经披露过许多类似的案例。假App的常见行为就是上传手机上的文件和图片,还有可能上传包含用户敏感信息的数据。而且,它们会恶意替换网络传输内容,就像本文描述中修改了钱包转账目标地址一样。这样的手法在假Telegram、假交易所App中早就司空见惯了。
大家在下载使用App时,一定要多方确认,认准官方下载渠道,以免下载到恶意App造成资金损失。在这个黑暗的区块链世界,保护自己的安全可是天经地义的啊!如果想了解更多安全知识建议,可以阅读我们慢雾安全团队发布的《区块链黑暗森林自救手册》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。
来吧,投资者们,让我们紧握着双拳,告别假冒,抱着真实!保护自己、保护资产才能走向成功!
We will continue to update 算娘; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles