Компания SlowMist, занимающаяся безопасностью блокчейнов, сообщила о новой фишинговой атаке с использованием поддельного приложения Skype. Цель атак — кража криптовалютных средств.
По информации пострадавших, которые напрямую связалась с SlowMist, их средства были украдены после загрузки из интернета того, что, по их мнению, было приложением Skype. Данный вид мошенничества подчёркивает опасность, с которой сталкиваются пользователи, особенно в таких странах, как Китай, где из-за различных запретов прямые загрузки из официальных магазинов приложений недоступны.
Из-за недоступности Google Play в Китае многие пользователи часто прибегают к поиску и загрузке приложений непосредственно из интернета, — пишут аналитики SlowMist.
Однако типы поддельных приложений, доступных в интернете, не ограничиваются только кошельками и биржами. Приложения социальных сетей, такие как Telegram, WhatsApp и Skype, также подвергаются подделке.
Расследование SlowMist выявило несколько тревожных сигналов: дата вступления в силу сертификата приложения указывает на то, что оно было создано в сентябре, а информация в подписи указывает на его китайское происхождение.
Поддельное приложение Skype, замаскированное под подлинный видеочат и оснащённое вредоносным кодом, отслеживает и загружает файлы и изображения с устройств пользователей в попытке перехватить конфиденциальную информацию.
По данным SlowMist, поскольку такие приложения, как Skype, используются для передачи файлов и совершения звонков, пользователи обычно не подозревают об этой активности, что позволяет злоумышленникам получить разрешения пользователей на загрузку файлов, а также информацию об устройстве, идентификаторы пользователей и номера телефонов.
В частности, поддельное приложение Skype отслеживает входящие и исходящие сообщения, чтобы определить, содержат ли они адреса блокчейнов Ethereum или Tron. По словам аналитиков SlowMist, в случае их обнаружения злоумышленники заменяют адреса пользователей запрограммированными и динамическими вредоносными адресами, перенаправляя платежи себе.
Команда SlowMist обнаружила, что на один из использованных вредоносных адресов в сети Tron было получено около 200 000 USDT в ходе 110 транзакций. Она также определила Ethereum-адрес, на который было получено 7800 USDT в 10 транзакциях, которые были переведены с помощью BitKeep.
Примечательно, что фишинговый домен, связанный с приложением, первоначально выдавал себя за криптовалютную биржу Binance, а затем в мае перешёл на имитацию серверной части Skype.
Команда SlowMist посоветовала пользователям использовать только официальные каналы загрузки приложений и быть внимательнее при установке различных приложений, чтобы снизить риск стать жертвой таких фишинговых атак.
