假 Skype App 钓鱼深度分析：社交软件成为 Web3 资产窃取新入口

查找币:余老师 | 漏洞披露 | 2026-05-09 22:18 | 2 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 背景在 Web3 安全领域，假冒应用程序（假 App）钓鱼攻击已成为威胁用户资产安全的常见手段之一。查找币安全团队此前已多次披露此类攻击手法，但攻击者仍在不断进化其策略。由于国内用户无法直接访问 Google Play 等官方应用商店，许多人选择通过搜索引擎直接下载所需应用，这为钓鱼团伙提供了可乘之机。值得注意的是，假 App 的攻击目标已不局限于钱包和交易所类应用，社交软件如 Telegram、WhatsApp 和 Skype 同样成为重灾区。近日，查找币安全团队接到一名受害者的紧急求助。据其描述，他在使用从网上下载的 Skype App 后，钱包中的加密资产被悉数盗走。我们随即对受害者提供的假 Skype 样本进行了深入分析，现将技术细节披露如下。 ## 假 Skype App 技术分析 ### 签名信息异常首先，我们对假 Skype 的 APK 签名信息进行检测。通常，假 App 的签名信息存在明显异常，与正版应用差异显著。经分析，该假 App 的签名信息极为简陋，所有者与发布者字段均显示为“CN”。这一特征强烈暗示钓鱼制作团伙很可能来自国内。此外，证书生效日期为 2023 年 9 月 11 日，表明该恶意应用制作时间不长。进一步比对发现，该假 App 版本号为 8.87.0.403，而当前 Skype 官方最新版本为 8.107.0.215，版本差异显著。通过百度搜索，我们发现了多个分发渠道均提供同一签名信息的假 Skype 版本，进一步验证了其恶意性质。 ### 加壳与反编译下载正版 Skype 8.87.403 版本进行证书比对后，确认 APK 证书不一致，这意味着该文件已被篡改并可能嵌入了恶意代码。我们随即对 APK 进行反编译分析。反编译过程中，检测到“SecShell”特征，这是梆梆加固（Bangcle）对 APK 加壳后的典型标识。钓鱼团伙常采用此类加固手段，以规避安全分析工具的静态检测。 ### 恶意代码核心：篡改 okhttp3 框架脱壳后，查找币安全团队发现假 App 的核心恶意行为集中在修改安卓常用的网络请求框架 **okhttp3**。okhttp3 是安卓平台处理所有网络流量请求的基础组件，攻击者通过篡改该框架，实现了对用户设备数据的全面监控与窃取。具体而言，被修改后的 okhttp3 会执行以下操作： - **实时监控并获取图片**：自动扫描安卓设备各目录中的图片文件，并持续监控是否有新增图片。 - **上传至钓鱼后台**：获取的图片最终会通过以下接口上传至攻击者服务器： ``` https://bn-download3.com/api/index/upload ``` ### 钓鱼域名溯源通过微步在线资产测绘平台，我们追溯了钓鱼后台域名“bn-download3.com”的历史活动记录： - 2022 年 11 月 23 日：该域名曾假冒币安交易所（Binance）进行钓鱼攻击。 - 2023 年 5 月 23 日后：域名转向假冒 Skype。进一步分析发现，“bn-download[number]”系列域名是该钓鱼团伙专门用于针对币安用户的惯用模式。这表明该团伙为长期作案的职业钓鱼组织，且核心目标锁定在 Web3 用户群体。 ### 权限滥用与数据窃取通过对网络请求包流量进行分析，我们发现假 Skype 启动后，被篡改的 okhttp3 框架会立即申请访问设备文件、相册等敏感权限。由于社交 App 正常功能（如文件传输、通话）需要这些权限，用户往往不会产生警惕。一旦用户授权，假 App 立即向后端服务器上传以下数据： - 设备中的图片文件 - 设备信息（型号、系统版本等） - 用户名 ID - 手机号码测试设备中存有 3 张图片，流量日志中对应出现了 3 次 upload 请求，验证了其窃取行为。 ### 地址替换攻击：核心资产窃取机制在运行初期，假 Skype 会向以下接口请求 USDT 地址列表： ``` https://bn-download3.com/api/index/get_usdt_list2?channel=605 ``` 分析发现，假 App 会实时监控用户收发消息中是否包含 **TRX（波场）** 或 **ETH（以太坊）** 格式的地址字符串。一旦匹配到，便会自动将其替换为钓鱼团伙预设的恶意地址。已确认的硬编码恶意地址如下： - **TRX 地址**： - `TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB` - `TEGtKLavujdMrYxQWAsowXqxUHMdurUhRP` - **ETH 地址**： - `0xF90acFBe580F58f912F557B444bA1bf77053fc03` - `0x03d65A25Db71C228c4BD202C4d6DbF06f772323A` 除硬编码地址外，假 App 还会通过动态接口获取恶意地址： ``` https://bn-download8.com/api/index/reqaddV2 ``` 在测试过程中，我们发现当前该接口已关闭，不再返回恶意地址，说明钓鱼团伙可能已更换策略或暂时停止活动。 ## 资金流向追踪结合钓鱼域名、后台接口路径及时间线，我们关联到 2022 年的一起钓鱼事件。截至分析时，上述恶意地址共收到约 **7800 枚 USDT**，入金交易共计 10 笔，资金已全部转移。最近一笔交易发生在 7 月 11 日。进一步追踪发现，大部分被盗资金通过 **BitKeep 的 Swap 功能** 进行转出，手续费来源为 **OKX** 交易所。这一路径揭示了攻击者洗钱手法的高效性。 ## 防护建议本次披露的钓鱼攻击通过假冒社交软件 App 实施，手法隐蔽且危害巨大。查找币安全团队在此前报告中已多次强调类似风险。假 App 的常见行为包括： - 上传设备中的文件与图片，窃取敏感信息 - 篡改网络传输内容，如替换钱包转账地址 - 利用社交软件权限获取用户信任为避免类似损失，我们建议用户采取以下措施： 1. **认准官方下载渠道**：始终通过 Google Play、App Store 或应用官网下载应用，避免使用第三方搜索引擎结果。 2. **验证应用签名**：对 APK 文件进行签名校验，确认与官方版本一致。 3. **警惕权限请求**：对非必要权限（如相册、文件访问）保持谨慎，尤其是社交软件启动时。 4. **使用硬件钱包**：大额资产建议使用硬件钱包，避免在联网设备上直接操作。 5. **定期检查交易记录**：监控钱包地址的异常交易，发现可疑行为立即转移资产。区块链黑暗森林世界需要用户不断提高安全意识，避免上当受骗。更多安全知识建议阅读查找币安全团队出品的《区块链黑暗森林自救手册》： [点击查看](https://github.com/查找币/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md) --- 本文由查找币安全团队整理发布

假 Skype App 钓鱼深度分析：社交软件成为 Web3 资产窃取新入口

查找币安全研究院

主题延伸阅读