Alerta
de Segurança: Golpe de Phishing Chinês Utiliza Aplicativo Falso do Skype para
Atacar Usuários de Criptomoedas
Na vastidão do cenário de segurança cibernética, a empresa especializada em
criptografia, SlowMist, recentemente identificou uma série de endereços de
carteira associados a um elaborado esquema de phishing. Este ardil, que visava
usuários desavisados de criptomoedas, resultou na drenagem de centenas de milhares
de dólares, revelando uma ameaça substancial à segurança digital.
Imagem by IA
Na China, uma nova onda de golpes de phishing surgiu,
aproveitando-se de um aplicativo de vídeo falso que se apresenta como Skype. A
SlowMist revelou em seu relatório de análise de segurança criptográfica que os
perpetradores chineses por trás desse esquema engenhoso utilizaram a proibição
chinesa de aplicações internacionais como um ponto de apoio para suas
atividades fraudulentas. A proibição levou muitos usuários do continente a buscar
essas aplicações banidas em plataformas de terceiros, proporcionando aos
hackers uma oportunidade de explorar essa vulnerabilidade.
Entre os aplicativos de mídia social mais comumente
pesquisados estão Telegram, WhatsApp e Skype. Os cibercriminosos se aproveitam
dessa demanda, criando aplicativos clonados e falsos, muitas vezes contendo
malware destinado a atacar as carteiras criptografadas dos usuários
desavisados.
Na análise minuciosa da equipe SlowMist, o aplicativo falso
do Skype, recentemente concebido, exibiu a versão 8.87.0.403, enquanto a versão
oficial mais recente do Skype estava na 8.107.0.215. O domínio back-end de
phishing, "bn-download3.com", inicialmente fazendo-se passar pela
exchange Binance em 23 de novembro de 2022, transformou-se posteriormente para
imitar um domínio back-end do Skype em 23 de maio de 2023.
A detecção inicial desse aplicativo falso ocorreu quando um
usuário relatou ter perdido uma "quantia significativa de dinheiro"
no mesmo golpe. A assinatura adulterada do aplicativo revelou a presença de
malware. Ao descompilar o aplicativo, a equipe de segurança identificou uma
estrutura de rede Android modificada, conhecida como "okhttp3", usada
para direcionar usuários de criptografia. Essa modificação permitia a obtenção
de imagens de vários diretórios no telefone, monitorando novas imagens em tempo
real.
O okhttp3 malicioso solicitava aos usuários permissões para
acessar arquivos e imagens internas. Dado que muitos aplicativos de mídia
social solicitam essas permissões rotineiramente, os usuários muitas vezes não
suspeitam de irregularidades. O Skype falso, uma vez concedido o acesso,
começava imediatamente a enviar imagens, informações do dispositivo, ID do
usuário, número de telefone e outros dados confidenciais para o back-end.
Durante os testes conduzidos pela SlowMist, observou-se que
a substituição do endereço da carteira foi interrompida, com o back-end da
interface de phishing desativado e não retornando mais endereços maliciosos. Em
resposta a essa ameaça, a equipe SlowMist agiu rapidamente, sinalizando e
colocando na lista negra todos os endereços de carteira vinculados a esse
sofisticado golpe de phishing. Este incidente destaca a importância contínua da
vigilância e proteção contra ameaças crescentes no cenário de segurança
cibernética.