本文將簡析攻擊者如何利用假 Skype App 實施釣魚。

作者:耀

Web3 世界中的假 App 釣魚事件非常頻繁,慢霧安全團隊之前也發佈過相關的釣魚分析文章。 由於國內無法直接訪問 Google Play,很多使用者往往選擇網上直接搜索下載要使用的 App,然而網上充斥的假 App 的類型早已不限制於錢包和交易所類,社交軟體如 Telegram,WhatsApp 和 Skype 也是重災區。

近日有受害者聯繫到慢霧安全團隊,根據他的描述,他是在使用了網上下載的 Skype App 後導致資金被盜,於是我們根據受害者提供的假 Skype 釣魚樣本展開分析。

假 Skype App 分析

首先分析假 Skype 的簽名資訊,一般假 App 的簽名資訊存在異常內容,和真 App 有較大的區別。

我們看到這個假 App 的簽名信息比較簡單,幾乎沒有內容,且擁有者和發行者都是 “CN”。 根據這個資訊可以初步判定釣魚製作團夥很可能是國人,並且根據證書生效時間 2023.9.11 也可以推斷出這個 App 的製作時間並不長。 進一步分析還發現,這個假 App 使用的版本是 8.87.0.403,而現在 Skype 的最新版本號為 8.107.0.215。

使用百度搜索發現了多個相同的假 Skype 版本的發佈管道來源,簽名資訊和受害者提供的一致。

下載真實 8.87.403 版本的 Skype 來進行證書對比:

由於 APK 的證書不一致,說明這個 APK 檔已被篡改過並且很可能已被注入了惡意代碼,於是我們開始著手對 APK 進行反編譯分析。

“SecShell” 是使用梆梆加固對 APK 加殼後的特徵,這也是一般假 APP 的常見防禦方式,釣魚團夥往往會對假 APP 做一層加殼處理以防止被分析。

慢霧安全團隊在對脫殼后的版本進行分析后,發現假 App 主要修改了安卓常用的一個網路框架 okHTTP3 來進行各種惡意操作,由於 okHTTP3 是安卓流量請求的框架,所有的流量請求都會經過 okHTTP3 來處理。

被修改後的 okHTTP3 首先會獲取安卓手機設備各個目錄中的圖片並實時監控是否有新增的圖片。

獲取到的圖片最終會通過網路上傳到釣魚團夥的後台介面:https://bn-download3.com/api/index/upload。

通過微步在線的資產測繪平臺,發現釣魚後台域名「bn-download3.com」在 2022.11.23 假冒過幣安交易所,直到 2023.05.23 後才開始假冒為 Skype 的後台功能變數名稱:

進一步分析發現「bn-download[number]」是該釣魚團夥專門用於幣安釣魚的假功能變數名稱,可見此釣魚團夥為慣犯並且專門針對 Web3。

通過對網路請求包流量進行分析,在運行打開假 Skype 之後,被修改後的 okHTTP3 便會開始申請獲取訪問檔相冊等許可權。 由於社交 App 需要傳輸檔通話等,所以一般使用者並不會警惕這些行為。 獲取用戶許可權后,假 Skype 便立即開始向後端開始上傳圖片、設備資訊、使用者名 id、手機號等資訊:

通過流量層分析,測試的設備手機有 3 張圖片,因此可以看到流量上有 3 個 upload 的請求。

在運行之初,假 Skype 還會向介面(https://bn-download3.com/api/index/get_usdt_list2?channel=605)請求 USDT 清單,不過在分析的時候發現服務端返回一個空的清單回來:

跟進代碼發現,假 Skype 會監控匹配收發的消息是否存在 TRX 和 ETH 類型的位址格式字串,如果被匹配到則會被自動替換成釣魚團夥預設置的惡意位址:

相關的惡意位址如下:

TRX:

TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB

TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP

ETH: 

0xF90acFBe580F58f912F557B444bA1bf77053fc03

0x03d65A25Db71C228c4BD202C4d6DbF06f772323A

除了硬編碼的位址外,假 Skype 還會通過介面「https://bn-download8.com/api/index/reqaddV2」動態地獲取惡意位址。

目前測試假 Skype 發送位址到另外一個帳號時,發現已經不會進行位址替換,釣魚介面後台介面已經關閉返回惡意位址。

分析到此,結合釣魚功能變數名稱,網站後台的介面路徑和日期時間,我們關聯到了 2022 年 11 月 8 號發布的假幣安 App 分析《李逵還是李鬼? 假幣安 APP 釣魚分析》,經過分析發現兩起事件竟然是同一個釣魚團夥作案。

通過 IP 反查功能變數名稱發現了更多的釣魚功能變數名稱。

惡意位址分析

慢霧安全團隊在分析出惡意位址后就第一時間進行拉黑處理,所以目前上述地址的風險評分都為 100 分,屬於嚴重風險。

使用 MistTrack 分析發現,TRON 鏈位址(TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB)共收到過約 192856 枚 USDT,入金交易有 110 筆。 目前該地址還有一部分餘額,最近一次交易是在 11 月 8 號。

繼續追蹤查看出金記錄發現大部分資金已經被分批轉出。

繼續使用 MistTrack 分析 ETH 鏈位址(0xF90acFBe580F58f912F557B444bA1bf77053fc03),該位址共收到過約 7800 枚 USDT,入金交易有 10 筆,資金已經全部轉移,最近一次交易是在 7 月 11 號。

繼續分析發現大部分資金通過 BitKeep 的 Swap 轉出,手續費來源是 OKX。

總結

本次分享的釣魚途徑是通過假冒的社交軟體 App 實施的,慢霧安全團隊也披露過多起類似的案例。 假 App 常見行為比如上傳手機的文件圖片,上傳可能包含使用者敏感信息的數據,而惡意替換網路傳輸內容,如本文中修改錢包轉帳的目的位址這種手法在假 Telegram、假交易所 App 中已屢見不鮮。

用戶在下載使用 APP 時還是需要多方確認,認准官方下載管道,避免下載到惡意 APP 造成資金損失。 區塊鏈黑暗森林世界需要用戶不斷提高安全意識,避免上當受騙。 更多的安全知識建議閱讀慢霧安全團隊出品的《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。