Твитнуть
Специалисты SlowMist обнаружили поддельное приложение Skype, с помощью которого хакеры из Китая похитили сотни тысяч долларов в различных криптовалютах.
Создатели фишинговой аферы пользуются действующим в стране запретом международных мессенджеров, в результате чего пользователям приходится скачивать их с неофициальных источников.
По данным SlowMist, вредоносный Skype имел номер версии 8.87.0.403, тогда как последняя версия реального приложения имеет номер 8.107.0.215. С ноября 2022 до мая 2023 года используемый хакерами фишинговый внутренний домен bn-download3.com выдавал себя за биржу Binance.
Исследователи обнаружили, что вредонос модифицировал широко используемую сетевую структуру Android под названием okhttp3 для таргетинга на держателей криптовалют.
С ее помощью злоумышленники получали доступ к внутренним файлам и изображениям, а также к системной информации об устройстве. Это позволяло им отслеживать сообщения со строками в формате адресов, подобными TRX и ETH. В дальнейшем кошельки подменялись на принадлежащие хакерам.
Команда SlowMist в ходе анализа выявила и внесла в черный список более 100 вредоносных адресов, связанных с этим мошенничеством. В частности, один из Tron-кошельков до 8 ноября получил 110 транзакций на сумму свыше 192 856 USDT.
Другой адрес в сети ETH получил 7800 USDT за 10 депозитных транзакций.
Создатели фишинговой аферы пользуются действующим в стране запретом международных мессенджеров, в результате чего пользователям приходится скачивать их с неофициальных источников.
По данным SlowMist, вредоносный Skype имел номер версии 8.87.0.403, тогда как последняя версия реального приложения имеет номер 8.107.0.215. С ноября 2022 до мая 2023 года используемый хакерами фишинговый внутренний домен bn-download3.com выдавал себя за биржу Binance.
Исследователи обнаружили, что вредонос модифицировал широко используемую сетевую структуру Android под названием okhttp3 для таргетинга на держателей криптовалют.
С ее помощью злоумышленники получали доступ к внутренним файлам и изображениям, а также к системной информации об устройстве. Это позволяло им отслеживать сообщения со строками в формате адресов, подобными TRX и ETH. В дальнейшем кошельки подменялись на принадлежащие хакерам.
Команда SlowMist в ходе анализа выявила и внесла в черный список более 100 вредоносных адресов, связанных с этим мошенничеством. В частности, один из Tron-кошельков до 8 ноября получил 110 транзакций на сумму свыше 192 856 USDT.
Другой адрес в сети ETH получил 7800 USDT за 10 депозитных транзакций.