Организирана от група китайски хакери, които се възползват от забраната на Китай за международни приложения, схемата се възползва от засиленото търсене на тези приложения на алтернативни платформи в континентален Китай.
Хакерите стратегически се фокусират върху популярни приложения за социални медии като Telegram, WhatsApp и Skype, създавайки фалшиво Skype приложение, за да хванат в капан потребителите и да откраднат техните криптоактиви.
Измамното приложение Skype, представящо се за версия 8.87.0.403, се разминаваше с легитимната последна версия – 8.107.0.215. То включва злонамерен софтуер, насочен към портфейли за криптовалута, като манипулира мрежовата рамка okhttp3 за Android.
Начинът по който е функционирало приложението е да дискретно да следи и качва различни типове данни от устройствата на жертвите, включително изображения и потребителски идентификатори, като се фокусираше върху информация за портфейли за криптовалути.
След това софтуерът идентифицира и заменя легитимните адреси на криптопортфейли в изображенията и съобщенията с тези, които са собственост на измамниците, като пренасочва средствата за легитимни транзакции към портфейлите на измамниците.
Разследването на SlowMist разкри над 100 адреса на портфейли в черния списък, участващи в транзакции на обща стойност приблизително 192,856 USDT във веригата на TRON и 7,800 USDT в Етериум веригата, предотвратявайки по-нататъшни измамни дейности.