Çinli bilgisayar korsanları yeni kimlik avı dolandırıcılığında kripto para kullanıcılarını gaye alıyor. Korsanlar bunun için düzmece Skype uygulamasını kullanıyor. Kripto güvenlik firması SlowMist, şüphelenmeyen kripto kullanıcılarından yüz binlerce dolar çeken bir kimlik avı dolandırıcılığıyla temaslı birkaç cüzdan adresi keşfetti.
Korsanlar, kripto para kullanıcılarını geçersiz Skype’la avlıyor!
Çin’de uydurma bir Skype uygulaması kullanan yeni bir kimlik avı dolandırıcılığı ortaya çıktı. Kriptokoin.com olarak bildirdiğimiz üzere korsanlar, bu uygulamayla kripto para kullanıcılarını gaye alıyor. Kripto güvenlik tahlil firması SlowMist’in hazırladığı rapora nazaran, Çinli bilgisayar korsanları, Çin’in milletlerarası uygulamalara yönelik yasağını dolandırıcılıklarının temeli olarak kullanıyor. Ayrıyeten, birçok kullanıcı ekseriyetle bu yasaklı uygulamaları üçüncü taraf platformlar aracılığıyla arıyor.
Telegram, WhatsApp ve Skype üzere toplumsal medya uygulamaları, kullanıcılarını aradığı en yaygın uygulamalardan kimileri. Bu nedenle dolandırıcılar çoklukla bu güvenlik açığını, kripto para cüzdanlarına saldırmak için geliştirilmiş makus gayeli yazılım içeren uydurma, klonlanmış uygulamalarla onları maksat almak için kullanıyorlar.
Skype için Baidu arama sonuçları. Kaynak: BaiduSlowMist takımı yaptığı tahlilde, yakın vakitte oluşturulan geçersiz Skype uygulamasının 8.87.0.403 sürümünü gösterdiğini, Skype’ın en son resmi sürümünün ise 8.107.0.215 olduğunu tespit etti. Takım ayrıyeten “bn-download3.com” kimlik avı art uç alan isminin 23 Kasım 2022’de kripto para borsası Binance’ı taklit ettiğini ve daha sonra 23 Mayıs 2023’te bir Skype art uç alan ismini taklit edecek halde değiştiğini keşfetti. Geçersiz Skype uygulamasını birinci olarak tıpkı dolandırıcılıkta “önemli ölçüde para” kaybeden bir kullanıcı rapor etti.
Dolandırıcılık olayının art planı ve detaylar
Sahte uygulamanın imzası, makûs hedefli yazılım eklemek için üzerinde oynandığını ortaya koydu. Güvenlik takımı uygulamayı çözdükten sonra, kripto kullanıcılarını amaç almak için yaygın olarak kullanılan bir Android ağ çerçevesi olan “okhttp3 “ün değiştirildiğini keşfetti. Varsayılan okhttp3 çerçevesi Android trafik taleplerini ele alıyor. Lakin değiştirilmiş okhttp3 telefondaki çeşitli dizinlerden imgeler alıyor. Ayrıyeten, gerçek vakitli olarak yeni imajları izliyor.
Kötü niyetli okhttp3, kullanıcılardan dahili evraklara ve manzaralara erişim müsaadesi vermelerini istiyor. Birden fazla toplumsal medya uygulaması esasen bu müsaadeleri istediğinden kullanıcılar, çoklukla rastgele bir kuşku duymuyor. Böylelikle düzmece Skype çabucak imgeleri, aygıt bilgilerini ve öteki bilgileri art uca yüklemeye başlıyor. Düzmece uygulama erişim sağladıktan sonra, daima olarak Tron ve Ethereum gibisi kripto para adres formatı dizeleri içeren imaj ve bildirileri arıyor. Bu çeşit adresleri tespit ederse, bunları otomatik olarak korsanların evvelden ayarladığı makûs niyetli adreslerle değiştiriyor.
Sahte Skype uygulaması art ucu. Kaynak: SlowmistSlowMist testi sırasında, cüzdan adresi değişiminin durduğunu tespit etti. Takım ayrıyeten bir Tron Blockchain adresinin (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) 8 Kasım’a kadar yaklaşık 192.856 Tether aldığını keşfetti. Ayrıyeten, adrese toplam 110 kripto para süreç yapıldığını ortaya koydu. Tıpkı vakitte, öbür bir ETH Blockchain adresi (0xF90acFBe580F58f912F557B444bA1bf77053fc03) 10 süreçte yaklaşık 7.800 USDT aldı. SlowMist takımı, dolandırıcılıkla irtibatlı tüm cüzdan adreslerini işaretledi ve kara listeye aldı.
