Một trò lừa đảo lừa đảo mới đã xuất hiện ở Trung Quốc sử dụng ứng dụng video Skype giả mạo để nhắm mục tiêu vào người dùng tiền điện tử.

Theo báo cáo của công ty phân tích bảo mật tiền điện tử SlowMist, các tin tặc Trung Quốc đứng đằng sau vụ lừa đảo lừa đảo đã sử dụng lệnh cấm của Trung Quốc đối với các ứng dụng quốc tế làm cơ sở cho hành vi lừa đảo của họ, với nhiều người dùng đại lục thường tìm kiếm các ứng dụng bị cấm này thông qua nền tảng của bên thứ ba.

Các ứng dụng truyền thông xã hội như Telegram, WhatsApp và Skype là một số ứng dụng phổ biến nhất được người dùng đại lục tìm kiếm, vì vậy những kẻ lừa đảo thường sử dụng lỗ hổng này để nhắm mục tiêu bằng các ứng dụng giả mạo, nhân bản có chứa phần mềm độc hại được phát triển để tấn công ví tiền điện tử.

Kết quả tìm kiếm Baidu cho Skype. Nguồn: Baidu

Trong phân tích của mình, nhóm SlowMist phát hiện ra ứng dụng Skype giả mạo mới tạo gần đây hiển thị phiên bản 8.87.0.403, trong khi phiên bản chính thức mới nhất của Skype là 8.107.0.215. Nhóm cũng phát hiện ra rằng miền phụ trợ lừa đảo “bn-download3.com” đã mạo danh sàn giao dịch Binance vào ngày 23 tháng 11 năm 2022, sau đó đổi thành tên miền phụ trợ Skype vào ngày 23 tháng 5 năm 2023. Ứng dụng Skype giả mạo đã bị lần đầu tiên được báo cáo bởi một người dùng đã mất “một số tiền đáng kể” cho cùng một vụ lừa đảo.

Chữ ký của ứng dụng giả mạo cho thấy nó đã bị giả mạo để chèn phần mềm độc hại. Sau khi giải mã ứng dụng, nhóm bảo mật đã phát hiện ra một khung mạng Android thường được sửa đổi, “okhttp3,” để nhắm mục tiêu đến người dùng tiền điện tử. Khung okhttp3 mặc định xử lý các yêu cầu lưu lượng truy cập của Android, nhưng okhttp3 đã sửa đổi lấy hình ảnh từ nhiều thư mục khác nhau trên điện thoại và theo dõi mọi hình ảnh mới trong thời gian thực.

Okhttp3 độc hại yêu cầu người dùng cấp quyền truy cập vào các tệp và hình ảnh nội bộ và vì hầu hết các ứng dụng truyền thông xã hội đều yêu cầu các quyền này nên họ thường không nghi ngờ bất kỳ hành vi sai trái nào. Do đó, Skype giả mạo ngay lập tức bắt đầu tải hình ảnh, thông tin thiết bị, ID người dùng, số điện thoại và các thông tin khác lên phần cuối.

Sau khi ứng dụng giả mạo có quyền truy cập, nó sẽ liên tục tìm kiếm hình ảnh và tin nhắn có chuỗi định dạng địa chỉ giống Tron ( TRX ) và Ether ( ETH ). Nếu những địa chỉ đó bị phát hiện, chúng sẽ tự động được thay thế bằng những địa chỉ độc hại do nhóm lừa đảo cài đặt sẵn.

Phần cuối của ứng dụng Skype giả mạo. Nguồn: Slowmist

Trong quá trình thử nghiệm SlowMist, người ta nhận thấy rằng việc thay thế địa chỉ ví đã dừng lại, phần sau của giao diện lừa đảo đã tắt và không còn trả về các địa chỉ độc hại nữa.

Nhóm cũng phát hiện ra rằng một địa chỉ chuỗi Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) đã nhận được khoảng 192.856 Tether ( USDT ) tính đến ngày 8 tháng 11, với tổng số 110 giao dịch được thực hiện tới địa chỉ này. Đồng thời, một địa chỉ chuỗi ETH khác (0xF90acFBe580F58f912F557B444bA1bf77053fc03) đã nhận được khoảng 7.800 USDT sau 10 giao dịch.

Nhóm SlowMist đã gắn cờ và đưa vào danh sách đen tất cả các địa chỉ ví có liên quan đến vụ lừa đảo.