Çin’de kripto kullanıcılarını hedef alan sahte Skype uygulaması üzerinden kimlik avı dolandırıcılığı yapıldığı ortaya çıktı.
Kripto güvenlik analiz firması SlowMist tarafından hazırlanan rapora göre, kimlik avı dolandırıcılığının arkasındaki Çinli bilgisayar korsanları, Çin’in uluslararası uygulamalara yönelik yasağını dolandırıcılık stratejilerinin temeli olarak kullandı. Birçok Çin anakarası kullanıcısı, yasaklı uygulamaları üçüncü taraf platformlar aracılığıyla kullanıyor.
Telegram, WhatsApp ve Skype gibi sosyal medya uygulamalarının anakara kullanıcıları tarafından yaygın biçimde aranan uygulamalardan bazıları olduğu, bu nedenle dolandırıcıların bu güvenlik açığını kripto cüzdanlarına saldırmak için geliştirilmiş kötü amaçlı yazılım içeren sahte uygulamalarla kullanıcıları hedef almakta kullandığı bildirildi.
SlowMist ekibi analizinde, yakın zamanda oluşturulan sahte Skype uygulamasının 8.87.0.403 sürümünü gösterdiğini, Skype’ın en son resmi sürümünün ise 8.107.0.215 olduğunu tespit etti. Ekip ayrıca kjimlik avında kullanılan “bn-download3.com” alan adının 23 Kasım 2022 tarihinde Binance borsasını taklit ettiğini ve daha sonra 23 Mayıs 2023 tarihinde Skype alan adını taklit edecek şekilde değiştirildiğini keşfetti. Sahte Skype uygulaması ilk olarak bu dolandırıcılık yönteminden yüklü miktarda para kaybeden bir kullanıcı tarafından rapor edildi.
Sahte uygulamanın imzası, kötü amaçlı yazılım eklemek amacıyla uygulama üzerinde oynandığını ortaya koydu. Güvenlik ekibi uygulamayı çözdükten sonra, kripto kullanıcılarını hedef almak amacıyla yaygın olarak değiştirilen bir Android ağ protokolü olan “okhttp3” protokolündeki değişiklikleri keşfetti. Varsayılan okhttp3 protokolü Android trafik taleplerini ele alır ancak değiştirilmiş okhttp3 telefondaki çeşitli dizinlerden görüntüler alarak, gerçek zamanlıbir biçimde yeni görüntüleri de izler.
Kötü niyetli okhttp3, kullanıcılardan dahili dosyalara ve görüntülere erişim izni vermelerini ister. Çoğu sosyal medya uygulaması da bu izinleri istediğinden, kullanıcılar genellikle herhangi bir şeyden şüphelenmez. Böylece sahte Skype uygulaması görüntüleri, cihaz bilgilerini, kullanıcı kimliğini, telefon numarasını ve diğer bilgileri derhal yüklemeye başlar.
Sahte uygulama erişim sağladıktan sonra, devamlı olarak Tron ve Ether benzeri adres formatı içeren görüntü ve mesajları arar. Bu tür adresler tespit edildiğinde otomatik olarak kimlik avı çetesi tarafından değiştirilir.
Sahte Skype uygulaması kodları. Kaynak: Slowmist SlowMist testi sırasında kimlik avı arayüzünün kapatılması ile cüzdan adresi değişiminin durduğu tespit edildi.
Ekip ayrıca bir Tron adresinin (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) 8 Kasım tarihine kadar yaklaşık 192.856 Tether aldığını ve adrese toplam 110 transfer yapıldığını ortaya. Aynı zamanda, başka bir ETH adresi ise (0xF90acFBe580F58f912F557B444bA1bf77053fc03) 10 işlemde yaklaşık 7.800 USDT aldı.
SlowMist ekibi, dolandırıcılıkla bağlantılı tüm cüzdan adreslerini tespit ederek bu cüzdan adreslerini kara listeye aldı.
