Фахівці фірми з блокчейн-безпеки SlowMist виявили новий вид фішингової атаки, який вигадали та практикують хакери з Китаю. Для крадіжки криптовалют зловмисники вирішили створити фейковий застосунок Skype, у який хакери впровадили шкідливе програмне забезпечення для доступу до файлів користувача.
Як зазначається у релізі SlowMist, шахраї користуються китайськими заборонами на популярні міжнародні сервіси. Обмеження змушують багатьох користувачів завантажувати закордонні месенджери, включно з Telegram, WhatsApp і Skype, через неофіційні платформи.
У звіті йдеться, що хакери впровадили шкідливе ПЗ, яке модифікувало популярний мережевий фреймворк Android під назвою okhttp3. Стандартна структура обробляє запити трафіку, а модифікована отримує зображення з різних директорій на телефоні. За допомогою шкідливого фреймворку зловмисники отримували доступ до внутрішніх файлів і зображень користувача, даних про пристрій, номера телефону та іншої інформації.
Це давало змогу шахраям відстежувати повідомлення з рядками адрес, схожих на TRON і Ethereum. У разі виявлення шкідливе ПЗ замінювало їх на гаманці хакерів, куди й перетікали користувацькі кошти.
Команда SlowMist виявила, що на одну зі шкідливих адрес у мережі TRON у сумі було переказано близько 200 тисяч USDT. Останню зі 110 транзакцій здійснювали 8 листопада.
Фахівці також натрапили на адресу в мережі Ethereum. За 10 транзакцій на гаманець переказали 7,8 тисячі USDT. Кошти переказали за допомогою своп-сервісу BitKeep, а комісію за переказ отримали від криптовалютної біржі OKX.
Наразі, як зазначили в SlowMist, фішинговий застосунок уже відключено.
Раніше британський HSBC випустив термінове попередження після різкого збільшення кількості британських клієнтів, які завантажують фіктивні застосунки банку. Стало відомо про десятки випадків, коли клієнти завантажили фіктивні застосунки, що обманом змушують користувачів передавати фінансову інформацію.
