Hackers chinos utilizan app de Skype falsa para atacar criptousuarios

Ha surgido una nueva estafa de phishing en China que utiliza una aplicación falsa de Skype para atacar a usuarios de criptomonedas.

Según un informe de la firma de análisis de criptoseguridad SlowMist, los hackers chinos detrás de la estafa de phishing utilizaron la prohibición de China sobre las aplicaciones internacionales como base de su fraude, ya que muchos usuarios continentales suelen buscar estas aplicaciones prohibidas a través de plataformas de terceros.

Las aplicaciones de redes sociales como Telegram, WhatsApp y Skype son algunas de las aplicaciones más buscadas por los usuarios continentales, por lo que los estafadores suelen utilizar esta vulnerabilidad para dirigirse a ellos con aplicaciones falsas y clonadas que contienen malware desarrollado para atacar criptomonederos.

Resultados de la búsqueda de Skype en Baidu. Fuente: Baidu

En su análisis, el equipo de SlowMist descubrió que la aplicación falsa de Skype creada recientemente mostraba la versión 8.87.0.403, mientras que la última versión oficial de Skype es 8.107.0.215. El equipo también descubrió que el dominio back-end de phishing “bn-download3.com” se hizo pasar por el exchange Binance el 23 de noviembre de 2022, cambiando posteriormente para imitar un dominio back-end de Skype el 23 de mayo de 2023. La aplicación falsa de Skype fue denunciada por primera vez por un usuario que perdió “una importante cantidad de dinero” por la misma estafa.

La firma de la aplicación falsa reveló que había sido manipulada para insertar malware. Tras descompilar la aplicación, el equipo de seguridad descubrió un marco de red de Android comúnmente utilizado, “okhttp3”, modificado para dirigirse a los usuarios de criptomonedas. El framework okhttp3 por defecto gestiona las peticiones de tráfico de Android, pero el okhttp3 modificado obtiene imágenes de varios directorios del teléfono y monitoriza en tiempo real si hay nuevas imágenes.

El okhttp3 malicioso solicita a los usuarios que den acceso a archivos e imágenes internos, y como la mayoría de las aplicaciones de redes sociales piden estos permisos de todos modos, no suelen sospechar de ninguna fechoría. Así, el falso Skype comienza inmediatamente a subir imágenes, información del dispositivo, ID de usuario, número de teléfono y otra información al back-end.

Una vez que la aplicación falsa tiene acceso, busca continuamente imágenes y mensajes con cadenas de formato de dirección similares a Tron (TRX) y Ether (ETH). Si se detectan tales direcciones, se sustituyen automáticamente por direcciones maliciosas preestablecidas por la banda de phishing.

Back-end de la aplicación falsa de Skype. Fuente: Slowmist

Durante las pruebas de SlowMist, se descubrió que la sustitución de direcciones de monedero se había detenido: el back-end de la interfaz de phishing se había cerrado y ya no devolvía direcciones maliciosas.

El equipo también descubrió que una dirección de chain Tron (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) había recibido aproximadamente 192,856 Tether (USDT) hasta el 8 de noviembre, y que se habían realizado un total de 110 transacciones a la dirección. Al mismo tiempo, otra dirección de chain ETH (0xF90acFBe580F58f912F557B444bA1bf77053fc03) recibió aproximadamente 7,800 USDT en 10 transacciones.

El equipo de SlowMist marcó y puso en la lista negra todas las direcciones de monedero vinculadas a la estafa.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.