Компания по мониторингу кибербезопасности обнаружила, что хакеры активно используют поддельные медиа-приложения, типа Skype или Telegram, для организации фишинговых афер.
Аналитики SlowMist обнаружили, что китайские хакеры придумали новый вид фишинговой атаки, основанный на желании местных пользователей обойти законы страны и скачать запрещенные приложения.
Так, китайские мошенники создают поддельные приложения социальных медиа-платформ типа Telegram, WhatsApp и Skype, использование которых запрещено правительством КНР, и распространяют через них вредоносное ПО для кражи криптовалют.
Новый способ атаки на криптопользователей был выявлен командой SlowMist после анализа одного такого приложения. Декомпиляция фейкового приложения Skype показало в коде наличие вредоносного программного обеспечения, в частности сетевого фреймворка для Android, который позволяет злоумышленникам получить доступ к личным данным пользователя. Это происходит после того, как пользователь дает разрешение на доступ к внутренним файлам и изображениям, которое зачастую запрашивают медиа-приложения.
После получения доступа к внутренним файлам, вредоносное ПО находит изображения или сообщения с адресами криптокошельков и автоматически заменяет их адресами мошенников. Таким образом, ни о чем не подозревающий пользователь собственноручно отправляет криптовалюту киберпреступникам.
Аналитики SlowMist выяснили, что лишь через одно такое поддельное приложение Skype злоумышленникам удалось украсть у пользователей более $200 тыс. А жертвами аферы стало 120 пользователей, скачавших фишинговое приложение.
В ходе анализа команда SlowMist выяснила, как выявить поддельные приложения:
- версия фейкового приложения зачастую не совпадает с последней официальной версией;
- мошенники зачастую используют один и тот же фишинговый домен, который может сменить облик несколько раз за неделю;
- поддельное приложение обычно имеет большой вес.
Напомним, для распространения вредоносного ПО хакеры активно используют сайты на основе WordPress, а для обмана пользователей мошенники проводят бесплатные раздачи криптовалют в X (бывший Twitter).
