假冒 Skype 应用程序网络钓鱼分析
参考链接:
https://slowmist.medium.com/fake-skype-app-phishing-analysis-35c1dc8bc515
背景
在Web3世界中,涉及假冒应用程序的网络钓鱼事件相当频繁。慢雾安全团队此前曾发表过分析此类网络钓鱼案例的文章。由于Google Play在中国无法访问,许多用户经常直接从互联网上搜索和下载应用程序。然而,在线假冒应用程序的类型不仅限于钱包和交易所。Telegram、WhatsApp 和 Skype 等社交媒体应用程序也成为重点攻击目标。
近日,一名受害者联系了慢雾安全团队。据他描述,他的资金是在使用从互联网下载的Skype应用程序后被盗的。因此,我们根据受害者提供的假Skype钓鱼样本开始分析。
假冒 Skype 应用程序分析
首先,我们分析了假冒Skype应用程序的签名信息。一般来说,假冒应用程序的签名信息存在异常,与正版应用程序的签名信息存在较大差异。
我们注意到,这个假冒应用程序的签名信息非常简单,几乎是空的,并且所有者和发布者都被标记为“CN”。根据这些信息,我们初步推断该钓鱼制作团伙很可能是中国人。另外,从证书的生效日期2023年9月11日来看,我们推断这个应用程序并不是很久以前创建的。进一步分析发现,该假冒应用程序使用的版本是8.87.0.403,而Skype的最新版本是8.107.0.215。
通过百度搜索,我们发现了多个相同假冒Skype版本的来源,其签名信息与受害者提供的一致。
与正版 Skype 版本 8.87.403 的比较:
由于APK的证书不匹配,表明该APK文件已被篡改,很可能被注入恶意代码。因此,我们开始了APK的反编译和分析过程。
“SecShell”是使用 Bangcle(梆梆)防御工事封装 APK 所产生的特征。这是假冒应用程序常用的防御策略。网络钓鱼团伙通常会封装虚假应用程序以防止对其进行分析。
慢雾安全团队对未封装版本进行分析后发现,该假冒App主要修改了Android常用的网络框架okhttp3来执行各种恶意操作。由于okhttp3是处理Android流量请求的框架,所有流量请求都是通过okhttp3处理的。
修改后的okhttp3首先从Android手机上的各个目录中获取图像,并实时监控是否有新图像。
获得的图像最终通过网络上传到钓鱼团伙的后端接口:https: //bn-download3.com/api/index/upload。
利用微步资产映射平台,于2022年11月23日发现钓鱼后端域名bn-download3.com冒充币安交易所,直到2023年5月23日才开始冒充Skype后端域:
进一步分析发现,“bn-download[number]”是该钓鱼团伙专门用于币安钓鱼的一系列假域名,表明该团伙是专门针对Web3的惯犯。
通过分析网络流量数据包,运行假冒的Skype应用程序后,修改后的okhttp3开始请求访问文件、相册等的权限。由于社交应用程序需要传输文件和拨打电话,因此用户通常不会怀疑这些活动。假冒Skype在获得用户权限后,立即开始向后端上传图片、设备信息、用户ID、电话号码等信息:
通过流量层分析,发现测试设备有3张图片,因此流量中有3个上传请求。
假冒Skype在开始操作时,还会向接口(https://bn-download3.com/api/index/get_usdt_list2?channel=605)发送USDT列表请求。然而在分析过程中发现服务器返回的是一个空列表:
对代码的进一步调查显示,假冒 Skype 会监视传入和传出消息,以查看它们是否包含 TRX 和 ETH 类型地址格式字符串。如果检测到此类地址,它们会自动替换为网络钓鱼团伙预先设置的恶意地址:
相关恶意地址如下:
交易接收:
TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB
TEGtKLavujdMrYxQWAsowXqxUHMdurUHRP
以太币:
0xF90acFBe580F58f912F557B444bA1bf77053fc03
0x03d65A25Db71C228c4BD202C4d6DbF06f772323A
除了硬编码的地址之外,假冒的Skype还通过“ https://bn-download8.com/api/index/reqaddV2 ”接口动态检索恶意地址。”
目前,通过向其他账户发送地址的方式测试假冒Skype时,发现不再发生地址替换,并且钓鱼接口的后端已被关闭,不再返回恶意地址。
通过此分析,并通过关联钓鱼域名、后端接口路径以及日期和时间,我们将此案例与对 2022 年 11 月 8 日发布的假冒币安应用程序的分析联系起来,标题为“李逵还是李鬼?” 假币安APP钓鱼分析'。经查,这两起网络钓鱼事件系同一网络钓鱼团伙所为。
对域的反向 IP 查找发现了更多的网络钓鱼域。
恶意地址分析
慢雾安全团队识别出恶意地址后,立即将其列入黑名单。目前,上述地址的风险评分为100,风险严重。
通过MistTrack分析发现,TRON链地址(TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB)已收到约192,856 USDT,充值交易110笔。该地址仍有余额,最近一笔交易发生在 11 月 8 日。
进一步追踪提现记录显示,大部分资金已被分批转出。
继续MistTrack分析,ETH链地址(0xF90acFBe580F58f912F557B444bA1bf77053fc03)在10笔充值交易中收到了约7,800 USDT。资金已全部转出,最新一笔交易发生在7月11日。
进一步分析发现,大部分资金是通过BitKeep的Swap服务转出的,而交易费用则来自OKX。
概括
本文分享的这种网络钓鱼方法是通过假冒社交媒体应用程序执行的,慢雾安全团队在多个类似案例中已经披露了这一策略。假冒应用程序的常见行为包括从手机上传文件和图像、上传可能包含敏感用户信息的数据以及恶意替换网络传输内容,例如更改钱包转账的目的地地址,如本例所示。这种策略在假冒 Telegram 和假冒交易应用程序中并不罕见。
相关文章:
假冒 Skype 应用程序网络钓鱼分析
参考链接: https://slowmist.medium.com/fake-skype-app-phishing-analysis-35c1dc8bc515 背景 在Web3世界中,涉及假冒应用程序的网络钓鱼事件相当频繁。慢雾安全团队此前曾发表过分析此类网络钓鱼案例的文章。由于Google Play在中国无法访问,许多用户…...
软件外包开发的需求表达方法
软件开发需求的有效表达对于项目的成功至关重要。无论选择哪种需求表达方法,清晰、详细、易于理解是关键。与开发团队建立良好的沟通渠道,确保他们对需求有充分的理解,并随着项目的推进及时调整和更新需求文档。以下是一些常用的需求表达方法…...
详解JS的四种异步解决方案:回调函数、Promise、Generator、async/await
同步&异步的概念 在讲这四种异步方案之前,我们先来明确一下同步和异步的概念: 所谓同步(synchronization),简单来说,就是顺序执行,指的是同一时间只能做一件事情,只有目前正在执行的事情做完之后&am…...
Python进行多线程爬取数据通用模板
首先,我们需要导入所需的库,包括requests和BeautifulSoup。requests库用于发送HTTP请求,BeautifulSoup库用于解析HTML文档。 import requests from bs4 import BeautifulSoup然后,我们需要定义一个函数来发送HTTP请求并返回响应。…...
基于springboot实现沁园健身房预约管理系统【项目源码】
基于springboot实现沁园健身房预约管理系统演示 B/S架构 B/S结构是目前使用最多的结构模式,它可以使得系统的开发更加的简单,好操作,而且还可以对其进行维护。使用该结构时只需要在计算机中安装数据库,和一些很常用的浏览器就可以…...
论文笔记:Deep Trajectory Recovery with Fine-Grained Calibration using Kalman Filter
TKDE 2021 1 intro 1.1 背景 用户轨迹数据对于改进以用户为中心的应用程序很有用 POI推荐城市规划路线规划由于设备和环境的限制,许多轨迹以低采样率记录 采样的轨迹无法详细说明物体的实际路线增加了轨迹中两个连续采样点之间的不确定性——>开发有效的算法以…...
ubuntu下tensorrt环境配置
文章目录 一、Ubuntu18.04环境配置1.1 安装工具链和opencv1.2 安装Nvidia相关库1.2.1 安装Nvidia显卡驱动1.2.2 安装 cuda11.31.2.3 安装 cudnn8.21.2.4 下载 tensorrt8.4.2.4 二、编写CMakeLists.txt三、TensorRT系列教程 一、Ubuntu18.04环境配置 教程同样适用与ubuntu22.04…...
网络安全基础之php开发文件下载的实现
前言 php是网络安全学习里必不可少的一环,简单理解php的开发环节能更好的帮助我们去学习php以及其他语言的web漏洞原理 正文 在正常的开发中,文件下载的功能是必不可少,比如我们在论坛看到好看图片好听的歌时,将其下载下来时就…...
【学习笔记】 - GIT的基本操作,IDEA接入GIT以及上传hub
用github蛮多,但git没怎么用,看着视频对着写点笔记以及操作 一、GIT文件的三种状态和模式 已提交(committed) 已提交表示数据已经安全的保存在本地数据库中。 已修改(modified) 已修改表示修改了文件,但还没保存到数据库中。…...
Antd React Form.Item内部是自定义组件怎么自定义返回值
在线演示https://stackblitz.com/edit/stackblitz-starters-xwtwyz?filesrc%2FSelfTreeSelect.tsx 需求 当我们点击提交,需要返回用户名和选中树的id信息,但是,我不关要返回树的id信息,还需要返回选中树的名称 //默认返回的 {userName:梦洁,treeInfo:leaf1-value } //但是需…...
)
2023最新ACL大模型论文分类汇总(有代码的)
1 大模型文化道德 Knowledge of cultural moral norms in large language models url:https://aclanthology.org/2023.acl-long.26/code:https://github.com/AidaRamezani/cultural_inference 2 长文本推理 Open-ended Long Text Generation via Mask…...
Java版 招投标系统简介 招投标系统源码 java招投标系统 招投标系统功能设计
功能描述 1、门户管理:所有用户可在门户页面查看所有的公告信息及相关的通知信息。主要板块包含:招标公告、非招标公告、系统通知、政策法规。 2、立项管理:企业用户可对需要采购的项目进行立项申请,并提交审批,查看所…...
Ubuntu 22.04源码安装cmake 3.27.7
安装参考博客是《ubuntu安装cmake》和《Ubuntu 安装CMake》。 https://cmake.org/download是cmake官网下载的网址。 sudo wget -c https://github.com/Kitware/CMake/releases/download/v3.27.7/cmake-3.27.7.tar.gz可以下载源码,最后显示‘cmake-3.27.7.tar.gz’…...
无人地磅称重系统|自助过磅 料仓联动 自助卸料
上海思伟无人地磅系统 自助过磅、 自助卸料 、料仓联动 智能、省人、安全 无人监管过磅 对地磅及其相关的所有硬件进行配置和管理; 支持红外、道闸、车牌识别、AI分析、拍照存档、LED语音播报一体机等设备; 实现稳定可靠的无人监管称重功能…...
冥想第九百七十三天
1.今天周六,很冷的天,上午上了一上午的日语课。 2.下午去看了朋友刚出生的孩子。 3.充实的一天。感谢父母,感谢朋友,感谢家人,感谢不断进步的自己....
ROS 学习应用篇(三)话题Topic学习之自定义话题消息的类型的定义与调用
自定义消息类型的定义 Person.msg文件的定义(数据接口文件的定义) 创建msg文件 首先在功能包下新建msg文件夹,接着在该文件夹下创建文件。 定义msg文件内容 一个消息最重要的就是数据结构类型。这就需要引入一个msg文件,用于…...
财税服务展示预约小程序的作用是什么
财税财政往往困扰着很多公司,尤其是公司里没有相应职员或工作压力大的情况下,不少商家就会寻找代理记账、审计服务、会计代理等服务的机构。 对财政服务代理机构(会计公司)来说,市场企业多而广,理论上来说…...
RT-Thread提供的网络世界入口 -net组件
作为一款在RTOS领域对网络支持很丰富的RT-Thread,对设备联网功能的支持的工具就是net组件。 位于/rt-thread/components/net路劲下,作为一款基础组件,env与Studio的工程配置项界面的配置项都依赖该目录下的Kconfig。 我们对网络功能的选择&am…...
分享一些有趣的MATLAB提示音(代码可直接复制)
先做一个声明:文章是由我的个人公众号中的推送直接复制粘贴而来,因此对智能优化算法感兴趣的朋友,可关注我的个人公众号:启发式算法讨论。我会不定期在公众号里分享不同的智能优化算法,经典的,或者是近几年…...
软件测试|selenium执行js脚本
JavaScript是运行在客户端(浏览器)和服务器端的脚本语言,允许将静态网页转换为交互式网页。可以通过 Python Selenium WebDriver 执行 JavaScript 语句,在Web页面中进行js交互。那么js能做的事,Selenium应该大部分也能…...
Zustand 状态管理库:极简而强大的解决方案
Zustand 是一个轻量级、快速和可扩展的状态管理库,特别适合 React 应用。它以简洁的 API 和高效的性能解决了 Redux 等状态管理方案中的繁琐问题。 核心优势对比 基本使用指南 1. 创建 Store // store.js import create from zustandconst useStore create((set)…...
电脑插入多块移动硬盘后经常出现卡顿和蓝屏
当电脑在插入多块移动硬盘后频繁出现卡顿和蓝屏问题时,可能涉及硬件资源冲突、驱动兼容性、供电不足或系统设置等多方面原因。以下是逐步排查和解决方案: 1. 检查电源供电问题 问题原因:多块移动硬盘同时运行可能导致USB接口供电不足&#x…...
学校招生小程序源码介绍
基于ThinkPHPFastAdminUniApp开发的学校招生小程序源码,专为学校招生场景量身打造,功能实用且操作便捷。 从技术架构来看,ThinkPHP提供稳定可靠的后台服务,FastAdmin加速开发流程,UniApp则保障小程序在多端有良好的兼…...
【决胜公务员考试】求职OMG——见面课测验1
2025最新版!!!6.8截至答题,大家注意呀! 博主码字不易点个关注吧,祝期末顺利~~ 1.单选题(2分) 下列说法错误的是:( B ) A.选调生属于公务员系统 B.公务员属于事业编 C.选调生有基层锻炼的要求 D…...
CMake控制VS2022项目文件分组
我们可以通过 CMake 控制源文件的组织结构,使它们在 VS 解决方案资源管理器中以“组”(Filter)的形式进行分类展示。 🎯 目标 通过 CMake 脚本将 .cpp、.h 等源文件分组显示在 Visual Studio 2022 的解决方案资源管理器中。 ✅ 支持的方法汇总(共4种) 方法描述是否推荐…...
Redis:现代应用开发的高效内存数据存储利器
一、Redis的起源与发展 Redis最初由意大利程序员Salvatore Sanfilippo在2009年开发,其初衷是为了满足他自己的一个项目需求,即需要一个高性能的键值存储系统来解决传统数据库在高并发场景下的性能瓶颈。随着项目的开源,Redis凭借其简单易用、…...
Python+ZeroMQ实战:智能车辆状态监控与模拟模式自动切换
目录 关键点 技术实现1 技术实现2 摘要: 本文将介绍如何利用Python和ZeroMQ消息队列构建一个智能车辆状态监控系统。系统能够根据时间策略自动切换驾驶模式(自动驾驶、人工驾驶、远程驾驶、主动安全),并通过实时消息推送更新车…...
aardio 自动识别验证码输入
技术尝试 上周在发学习日志时有网友提议“在网页上识别验证码”,于是尝试整合图像识别与网页自动化技术,完成了这套模拟登录流程。核心思路是:截图验证码→OCR识别→自动填充表单→提交并验证结果。 代码在这里 import soImage; import we…...
Linux操作系统共享Windows操作系统的文件
目录 一、共享文件 二、挂载 一、共享文件 点击虚拟机选项-设置 点击选项,设置文件夹共享为总是启用,点击添加,可添加需要共享的文件夹 查询是否共享成功 ls /mnt/hgfs 如果显示Download(这是我共享的文件夹)&…...
el-amap-bezier-curve运用及线弧度设置
文章目录 简介示例线弧度属性主要弧度相关属性其他相关样式属性完整示例链接简介 el-amap-bezier-curve 是 Vue-Amap 组件库中的一个组件,用于在 高德地图 上绘制贝塞尔曲线。 基本用法属性path定义曲线的路径,可以是多个弧线段的组合。stroke-weight线条的宽度。stroke…...