A empresa de análise de segurança em criptomoedas SlowMist descobriu uma tentativa de golpe de phishing direcionada a entusiastas criptos. Este esquema, organizado por um grupo de hackers chineses, aproveitou a proibição de vários aplicativos internacionais na China, levando muitos usuários a buscar esses apps em plataformas de terceiros.
A estratégia dos hackers se concentrou em ferramentas populares de redes sociais, como Telegram, WhatsApp e Skype, que são amplamente procuradas por usuários da internet chinesa. Eles criaram uma versão falsificada do Skype, projetada para atrair vítimas e roubar suas holdings de criptomoedas.
A aplicação falsa do Skype, que alegava ser a versão 8.87.0.403, contrastava com a última versão, 8.107.0.215. A primeira denúncia de sua natureza maliciosa veio de um usuário que perdeu uma quantia significativa de dinheiro. Análises adicionais revelaram que a assinatura do aplicativo foi modificada para incluir malware direcionado a carteiras de criptomoedas.
No cerne do golpe estava a manipulação do okhttp3, um framework de rede Android comumente utilizado. Os hackers alteraram esse framework para monitorar e fazer upload de forma dissimulada vários tipos de dados do dispositivo da vítima, incluindo imagens, IDs de usuário e números de telefone. Mais importante ainda, visava informações relacionadas a carteiras de investidores cripto.
Além disso, a investigação liderada pela SlowMist descobriu mais de 100 endereços de carteira vinculados a essa operação de phishing. Esses endereços estavam envolvidos em transações totalizando cerca de 192.856 USDT na rede Tron e 7.800 USDT na rede Ethereum. Esses endereços foram agora adicionados à lista negra para evitar atividades fraudulentas futuras.
