La società di sicurezza informatica SlowMist ha riferito di un nuovo vettore destinato agli utenti di criptovalute e Web3. Questa truffa, che ha portato al furto di fondi da parte di una vittima ignara che ha scaricato l'app da Internet, evidenzia la crescente sofisticatezza dei criminali informatici che prendono di mira non solo portafogli ed scambi, ma anche app di social media ampiamente utilizzate.
SlowMist scopre sofisticate operazioni di phishing utilizzando l'app Skype falsa
Secondo il rapporto l’attacco è stato sferrato soprattutto contro utenti cinesi. Nella regione, le restrizioni contro gli App Store convenzionali hanno costretto gli utenti a scaricare versioni di software non ufficiali, creando vulnerabilità ancora più grandi.
Skype, WhatsApp, Telegram e altre importanti applicazioni sono spesso oggetto di questi attacchi. In questa occasione l'istituto di sicurezza ha esaminato un attacco con una versione falsa di Skype che ha colpito una persona che ha perso 200.000 dollari.
Dopo un esame, le informazioni sulla firma della falsa app Skype hanno sollevato immediati segnali d'allarme, essendo eccessivamente "semplicistiche" ed etichettate semplicemente come "CN", come mostrato nell'immagine seguente.
Ciò, unito alla recente data di entrata in vigore del certificato, ovvero l'11 settembre 2023, suggerisce una creazione recente, probabilmente da parte di un gruppo di phishing cinese. Utilizzando una versione obsoleta di Skype, l'app è stata trovata su più fonti Internet, in linea con l'account della vittima.
Uno sguardo più approfondito all'attacco alle app di phishing
L'analisi del team SlowMist è andata più in profondità, scoprendo che l'app era stata potenziata utilizzando Bangcle, una tattica comune nelle app false per ostacolare l'analisi. La decompilazione dell'APK ha rivelato alterazioni alla struttura della rete okhttp3, consentendo all'app di dirottare vari dati dal dispositivo dell'utente.
Questo okhttp3 modificato è stato progettato per caricare immagini e monitorarne di nuove in tempo reale, inviandole a un backend di phishing.
Il backend di phishing "bn-download3.com" aveva precedentemente impersonato l'exchange Binance prima di imitare un backend di Skype. Questo dominio faceva parte di una serie utilizzata dal gruppo di phishing, che indicava i loro ripetuti attacchi nel mondo Web3.
L'app richiedeva anche le autorizzazioni dell'utente con il pretesto di funzionalità di social media e quindi iniziava a caricare dati personali, tra cui immagini, informazioni sul dispositivo e numeri di telefono. In una svolta più sinistra, l'app ha monitorato e sostituito gli indirizzi di criptovaluta nei messaggi con indirizzi dannosi controllati dagli aggressori.
Il team SlowMist è riuscito a inserire nella lista nera gli indirizzi dannosi e, attraverso l'analisi MistTrack, ha scoperto quantità significative di transazioni USDT collegate a questi indirizzi, con fondi trasferiti attraverso vari servizi.
I fondi rubati sono stati inviati ai seguenti indirizzi sulla blockchain di TRON ed Ethereum: TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB e TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP (TRON). Sulla seconda blockchain: 0xF90acFBe580F58f912F557B444bA1bf77053fc03, 0x03d65A25Db71C228c4BD202C4d6DbF06f772323A.
Questo caso rispecchia una precedente truffa sull'app Binance falsa, segnalata alla fine del 2022, rivelando uno schema di sofisticate operazioni di phishing. Gli utenti sono invitati a scaricare app solo da canali ufficiali e a prestare attenzione a tali inganni.
Il team di sicurezza di SlowMist sottolinea l'importanza di una maggiore consapevolezza della sicurezza nello spazio blockchain. Al momento della stesura di questo articolo, Ethereum (ETH) viene scambiato a 2.060 dollari.
Immagine di copertina da Unsplash, grafico da Tradingview