Skype Kullanıcıları Dikkat: Kripto Para Korsanları Maksat Alıyor!

Çinli bilgisayar korsanları yeni kimlik avı dolandırıcılığında kripto para kullanıcılarını maksat alıyor. Korsanlar bunun için geçersiz Skype uygulamasını kullanıyor. Kripto güvenlik firması SlowMist, şüphelenmeyen kripto kullanıcılarından yüz binlerce dolar çeken bir kimlik avı dolandırıcılığıyla ilişkili birkaç cüzdan adresi keşfetti.

Korsanlar, kripto para kullanıcılarını uydurma Skype’la avlıyor!

Çin’de uydurma bir Skype uygulaması kullanan yeni bir kimlik avı dolandırıcılığı ortaya çıktı. Btcpiyasasi.com olarak bildirdiğimiz üzere korsanlar, bu uygulamayla kripto para kullanıcılarını gaye alıyor. Kripto güvenlik tahlil firması SlowMist’in hazırladığı rapora nazaran, Çinli bilgisayar korsanları, Çin’in memleketler arası uygulamalara yönelik yasağını dolandırıcılıklarının temeli olarak kullanıyor. Ayrıyeten, birçok kullanıcı ekseriyetle bu yasaklı uygulamaları üçüncü taraf platformlar aracılığıyla arıyor.

Telegram, WhatsApp ve Skype üzere toplumsal medya uygulamaları, kullanıcılarını aradığı en yaygın uygulamalardan kimileri. Bu nedenle dolandırıcılar ekseriyetle bu güvenlik açığını, kripto para cüzdanlarına saldırmak için geliştirilmiş makûs hedefli yazılım içeren uydurma, klonlanmış uygulamalarla onları gaye almak için kullanıyorlar.

SlowMist grubu yaptığı tahlilde, yakın vakitte oluşturulan düzmece Skype uygulamasının 8.87.0.403 sürümünü gösterdiğini, Skype’ın en son resmi sürümünün ise 8.107.0.215 olduğunu tespit etti. Grup ayrıyeten “bn-download3.com” kimlik avı art uç alan isminin 23 Kasım 2022’de kripto para borsası Binance’ı taklit ettiğini ve daha sonra 23 Mayıs 2023’te bir Skype art uç alan ismini taklit edecek formda değiştiğini keşfetti. Düzmece Skype uygulamasını birinci olarak birebir dolandırıcılıkta “önemli ölçüde para” kaybeden bir kullanıcı rapor etti.

Dolandırıcılık olayının art planı ve detaylar

Sahte uygulamanın imzası, makûs hedefli yazılım eklemek için üzerinde oynandığını ortaya koydu. Güvenlik takımı uygulamayı çözdükten sonra, kripto kullanıcılarını maksat almak için yaygın olarak kullanılan bir Android ağ çerçevesi olan “okhttp3 “ün değiştirildiğini keşfetti. Varsayılan okhttp3 çerçevesi Android trafik taleplerini ele alıyor. Fakat değiştirilmiş okhttp3 telefondaki çeşitli dizinlerden imajlar alıyor. Ayrıyeten, gerçek vakitli olarak yeni imgeleri izliyor.

Kötü niyetli okhttp3, kullanıcılardan dahili belgelere ve imgelere erişim müsaadesi vermelerini istiyor. Birçok toplumsal medya uygulaması esasen bu müsaadeleri istediğinden kullanıcılar, çoklukla rastgele bir kuşku duymuyor. Böylelikle geçersiz Skype çabucak imgeleri, aygıt bilgilerini ve başka bilgileri art uca yüklemeye başlıyor. Uydurma uygulama erişim sağladıktan sonra, daima olarak Tron ve Ethereum gibisi kripto para adres formatı dizeleri içeren imaj ve iletileri arıyor. Bu çeşit adresleri tespit ederse, bunları otomatik olarak korsanların evvelden ayarladığı berbat niyetli adreslerle değiştiriyor.

SlowMist testi sırasında, cüzdan adresi değişiminin durduğunu tespit etti. Takım ayrıyeten bir Tron Blockchain adresinin (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) 8 Kasım’a kadar yaklaşık 192.856 Tether aldığını keşfetti. Ayrıyeten, adrese toplam 110 kripto para süreç yapıldığını ortaya koydu. Tıpkı vakitte, öbür bir ETH Blockchain adresi (0xF90acFBe580F58f912F557B444bA1bf77053fc03) 10 süreçte yaklaşık 7.800 USDT aldı. SlowMist grubu, dolandırıcılıkla kontaklı tüm cüzdan adreslerini işaretledi ve kara listeye aldı.