当前位置：首页 > news >正文

假冒 Skype 应用程序网络钓鱼分析

news 2026/2/10 19:12:33

参考链接:

https://slowmist.medium.com/fake-skype-app-phishing-analysis-35c1dc8bc515

背景

在Web3世界中，涉及假冒应用程序的网络钓鱼事件相当频繁。慢雾安全团队此前曾发表过分析此类网络钓鱼案例的文章。由于Google Play在中国无法访问，许多用户经常直接从互联网上搜索和下载应用程序。然而，在线假冒应用程序的类型不仅限于钱包和交易所。Telegram、WhatsApp 和 Skype 等社交媒体应用程序也成为重点攻击目标。

近日，一名受害者联系了慢雾安全团队。据他描述，他的资金是在使用从互联网下载的Skype应用程序后被盗的。因此，我们根据受害者提供的假Skype钓鱼样本开始分析。

假冒 Skype 应用程序分析

首先，我们分析了假冒Skype应用程序的签名信息。一般来说，假冒应用程序的签名信息存在异常，与正版应用程序的签名信息存在较大差异。

我们注意到，这个假冒应用程序的签名信息非常简单，几乎是空的，并且所有者和发布者都被标记为“CN”。根据这些信息，我们初步推断该钓鱼制作团伙很可能是中国人。另外，从证书的生效日期2023年9月11日来看，我们推断这个应用程序并不是很久以前创建的。进一步分析发现，该假冒应用程序使用的版本是8.87.0.403，而Skype的最新版本是8.107.0.215。

通过百度搜索，我们发现了多个相同假冒Skype版本的来源，其签名信息与受害者提供的一致。

与正版 Skype 版本 8.87.403 的比较：

由于APK的证书不匹配，表明该APK文件已被篡改，很可能被注入恶意代码。因此，我们开始了APK的反编译和分析过程。

“SecShell”是使用 Bangcle（梆梆）防御工事封装 APK 所产生的特征。这是假冒应用程序常用的防御策略。网络钓鱼团伙通常会封装虚假应用程序以防止对其进行分析。

慢雾安全团队对未封装版本进行分析后发现，该假冒App主要修改了Android常用的网络框架okhttp3来执行各种恶意操作。由于okhttp3是处理Android流量请求的框架，所有流量请求都是通过okhttp3处理的。

修改后的okhttp3首先从Android手机上的各个目录中获取图像，并实时监控是否有新图像。

获得的图像最终通过网络上传到钓鱼团伙的后端接口：https: //bn-download3.com/api/index/upload。

利用微步资产映射平台，于2022年11月23日发现钓鱼后端域名bn-download3.com冒充币安交易所，直到2023年5月23日才开始冒充Skype后端域：

进一步分析发现，“bn-download[number]”是该钓鱼团伙专门用于币安钓鱼的一系列假域名，表明该团伙是专门针对Web3的惯犯。

通过分析网络流量数据包，运行假冒的Skype应用程序后，修改后的okhttp3开始请求访问文件、相册等的权限。由于社交应用程序需要传输文件和拨打电话，因此用户通常不会怀疑这些活动。假冒Skype在获得用户权限后，立即开始向后端上传图片、设备信息、用户ID、电话号码等信息：

通过流量层分析，发现测试设备有3张图片，因此流量中有3个上传请求。

假冒Skype在开始操作时，还会向接口（https://bn-download3.com/api/index/get_usdt_list2?channel=605）发送USDT列表请求。然而在分析过程中发现服务器返回的是一个空列表：

对代码的进一步调查显示，假冒 Skype 会监视传入和传出消息，以查看它们是否包含 TRX 和 ETH 类型地址格式字符串。如果检测到此类地址，它们会自动替换为网络钓鱼团伙预先设置的恶意地址：

恶意地址分析

慢雾安全团队识别出恶意地址后，立即将其列入黑名单。目前，上述地址的风险评分为100，风险严重。

通过MistTrack分析发现，TRON链地址（TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB）已收到约192,856 USDT，充值交易110笔。该地址仍有余额，最近一笔交易发生在 11 月 8 日。

进一步追踪提现记录显示，大部分资金已被分批转出。

继续MistTrack分析，ETH链地址（0xF90acFBe580F58f912F557B444bA1bf77053fc03）在10笔充值交易中收到了约7,800 USDT。资金已全部转出，最新一笔交易发生在7月11日。

进一步分析发现，大部分资金是通过BitKeep的Swap服务转出的，而交易费用则来自OKX。

概括

本文分享的这种网络钓鱼方法是通过假冒社交媒体应用程序执行的，慢雾安全团队在多个类似案例中已经披露了这一策略。假冒应用程序的常见行为包括从手机上传文件和图像、上传可能包含敏感用户信息的数据以及恶意替换网络传输内容，例如更改钱包转账的目的地地址，如本例所示。这种策略在假冒 Telegram 和假冒交易应用程序中并不罕见。

假冒 Skype 应用程序网络钓鱼分析

背景

假冒 Skype 应用程序分析

恶意地址分析

概括

相关文章：

假冒 Skype 应用程序网络钓鱼分析

软件外包开发的需求表达方法

详解JS的四种异步解决方案：回调函数、Promise、Generator、async/await

Python进行多线程爬取数据通用模板

基于springboot实现沁园健身房预约管理系统【项目源码】

论文笔记：Deep Trajectory Recovery with Fine-Grained Calibration using Kalman Filter

ubuntu下tensorrt环境配置

网络安全基础之php开发文件下载的实现

【学习笔记】 - GIT的基本操作，IDEA接入GIT以及上传hub

Antd React Form.Item内部是自定义组件怎么自定义返回值

2023最新ACL大模型论文分类汇总（有代码的）

Java版招投标系统简介招投标系统源码 java招投标系统招投标系统功能设计

Ubuntu 22.04源码安装cmake 3.27.7

无人地磅称重系统|自助过磅料仓联动自助卸料

冥想第九百七十三天

ROS 学习应用篇（三）话题Topic学习之自定义话题消息的类型的定义与调用

财税服务展示预约小程序的作用是什么

RT-Thread提供的网络世界入口 -net组件

分享一些有趣的MATLAB提示音(代码可直接复制)

软件测试|selenium执行js脚本

Docker 离线安装指南

Unity3D中Gfx.WaitForPresent优化方案

如何在看板中体现优先级变化

iPhone密码忘记了办？iPhoneUnlocker，iPhone解锁工具Aiseesoft iPhone Unlocker 高级注册版分享

MMaDA: Multimodal Large Diffusion Language Models

对WWDC 2025 Keynote 内容的预测

如何将联系人从 iPhone 转移到 Android

Python爬虫（二）：爬虫完整流程

ETLCloud可能遇到的问题有哪些？常见坑位解析

【git】把本地更改提交远程新分支feature_g