Кибербезопасные эксперты из компании SlowMist обнаружили фальшивое приложение Skype, которое было использовано китайскими хакерами для кражи сотен тысяч долларов в различных криптовалютах. Создатели этого фишингового приложения воспользовались запретом на международные мессенджеры в стране, что заставило пользователей загружать Skype с неофициальных ресурсов.

По информации, предоставленной SlowMist, вредоносная версия Skype имела номер версии 8.87.0.403, тогда как последняя версия оригинального приложения имеет номер 8.107.0.215. С момента ноября 2022 года по май 2023 года хакеры использовали внутренний фишинговый домен bn-download3.com, выдававший себя за популярную биржу Binance.

Исследователи обнаружили, что вредоносное приложение модифицировало распространенную сетевую структуру Android, называемую okhttp3, для атаки на держателей криптовалют. При помощи этой модификации злоумышленники получали доступ к внутренним файлам, изображениям и информации об устройстве, что позволяло им отслеживать сообщения с криптовалютными адресами, например, TRX и ETH. В дальнейшем они перехватывали кошельки, принадлежащие пользователям, и заменяли их собственными.

Команда SlowMist в результате анализа добавила в черный список более 100 вредоносных адресов, связанных с этим мошенничеством. Например, один из Tron-кошельков получил 110 транзакций на сумму более 192 856 USDT до 8 ноября. Другой адрес в сети ETH получил 7800 USDT за 10 депозитных транзакций.

Напомним, что в январе пользователи также стали жертвами шпионажа через троянского Telegram.