Çinli bilgisayar korsanları yeni kimlik avı dolandırıcılığında kripto para kullanıcılarını hedef alıyor. Korsanlar bunun için sahte Skype uygulamasını kullanıyor. Kripto güvenlik firması SlowMist, şüphelenmeyen kripto kullanıcılarından yüz binlerce dolar çeken bir kimlik avı dolandırıcılığıyla bağlantılı birkaç cüzdan adresi keşfetti.
Korsanlar, kripto para kullanıcılarını sahte Skype’la avlıyor!
Çin’de sahte bir Skype uygulaması kullanan yeni bir kimlik avı dolandırıcılığı ortaya çıktı. Kriptokoin.com olarak bildirdiğimiz üzere korsanlar, bu uygulamayla kripto para kullanıcılarını hedef alıyor. Kripto güvenlik analiz firması SlowMist’in hazırladığı rapora göre, Çinli bilgisayar korsanları, Çin’in uluslararası uygulamalara yönelik yasağını dolandırıcılıklarının temeli olarak kullanıyor. Ayrıca, birçok kullanıcı genellikle bu yasaklı uygulamaları üçüncü taraf platformlar aracılığıyla arıyor.
Telegram, WhatsApp ve Skype gibi sosyal medya uygulamaları, kullanıcılarını aradığı en yaygın uygulamalardan bazıları. Bu nedenle dolandırıcılar genellikle bu güvenlik açığını, kripto para cüzdanlarına saldırmak için geliştirilmiş kötü amaçlı yazılım içeren sahte, klonlanmış uygulamalarla onları hedef almak için kullanıyorlar.
SlowMist ekibi yaptığı analizde, yakın zamanda oluşturulan sahte Skype uygulamasının 8.87.0.403 sürümünü gösterdiğini, Skype’ın en son resmi sürümünün ise 8.107.0.215 olduğunu tespit etti. Ekip ayrıca “bn-download3.com” kimlik avı arka uç alan adının 23 Kasım 2022’de kripto para borsası Binance’ı taklit ettiğini ve daha sonra 23 Mayıs 2023’te bir Skype arka uç alan adını taklit edecek şekilde değiştiğini keşfetti. Sahte Skype uygulamasını ilk olarak aynı dolandırıcılıkta “önemli miktarda para” kaybeden bir kullanıcı rapor etti.
Dolandırıcılık olayının arka planı ve detaylar
Sahte uygulamanın imzası, kötü amaçlı yazılım eklemek için üzerinde oynandığını ortaya koydu. Güvenlik ekibi uygulamayı çözdükten sonra, kripto kullanıcılarını hedef almak için yaygın olarak kullanılan bir Android ağ çerçevesi olan “okhttp3 “ün değiştirildiğini keşfetti. Varsayılan okhttp3 çerçevesi Android trafik taleplerini ele alıyor. Ancak değiştirilmiş okhttp3 telefondaki çeşitli dizinlerden görüntüler alıyor. Ayrıca, gerçek zamanlı olarak yeni görüntüleri izliyor.
Kötü niyetli okhttp3, kullanıcılardan dahili dosyalara ve görüntülere erişim izni vermelerini istiyor. Çoğu sosyal medya uygulaması zaten bu izinleri istediğinden kullanıcılar, genellikle herhangi bir şüphe duymuyor. Böylece sahte Skype hemen görüntüleri, cihaz bilgilerini ve diğer bilgileri arka uca yüklemeye başlıyor. Sahte uygulama erişim sağladıktan sonra, sürekli olarak Tron ve Ethereum benzeri kripto para adres formatı dizeleri içeren görüntü ve mesajları arıyor. Bu tür adresleri tespit ederse, bunları otomatik olarak korsanların önceden ayarladığı kötü niyetli adreslerle değiştiriyor.
SlowMist testi sırasında, cüzdan adresi değişiminin durduğunu tespit etti. Ekip ayrıca bir Tron Blockchain adresinin (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) 8 Kasım’a kadar yaklaşık 192.856 Tether aldığını keşfetti. Ayrıca, adrese toplam 110 kripto para işlem yapıldığını ortaya koydu. Aynı zamanda, başka bir ETH Blockchain adresi (0xF90acFBe580F58f912F557B444bA1bf77053fc03) 10 işlemde yaklaşık 7.800 USDT aldı. SlowMist ekibi, dolandırıcılıkla bağlantılı tüm cüzdan adreslerini işaretledi ve kara listeye aldı.