仿冒中文Telegram钓鱼攻击再现，新的金融攻击活动瞄准国内用户

1.  背景概述

继2023年初披露Telegram重打包样本瞄准国内用户后，安天移动威胁情报团队再次跟踪到仿冒中文版本Telegram攻击活动。攻击者通过钓鱼网站https://telegram-zh.org.cn分发仿冒样本，以中文版Telegram为噱头，吸引受害者下载并安装。

该恶意样本为正版应用的重打包版本，因此受害者在使用体验方面与正版应用无异，样本会窃取受害者电话号码、账号信息、登录凭证，通过捕获用户聊天信息中的钱包地址窃取受害者虚拟货币。根据攻击者虚拟货币账户历史交易记录，推测此次攻击活动发生时间应早于2023年3月，并且攻击活动仍在持续。

图1-1 仿冒中文TG钓鱼网站

2. 网络攻击链分析

仿冒中文版本的Telegram样本分发网站域名为telegram-zh.org.cn，对应IP118.107.246.54。今年7月，通过访问该ip地址发现攻击者借此分发BNB仿冒应用，随后攻击者改变了攻击策略，11月该网站已转变为分发Bitpie仿冒应用：

 图2-1 仿冒BNB应用（2023.07）

 图2-2 仿冒Bitpie应用（2023.11）

同时对IP118.107.246.54进行域名反查，存在多个域名解析到该IP地址，溯源后发现该攻击者同时创建了多个钓鱼网站以及一个应用商店，网站内上架应用皆与虚拟货币相关，如仿冒BNB、imToken、Trust Wallet和TokenPocket等。

由此推断，此次发现的仿冒中文版本Telegram应用仅为攻击者发起的攻击活动中的一环，该攻击者还通过仿冒虚拟货币或电子钱包等应用，针对国内用户发起了广泛的金融攻击活动。在对钓鱼网站分发的仿冒应用进行分析后，发现多个样本均指向同一C2服务器：sxsfcc.com. 具体攻击链如下图：

截止发文，攻击者使用的大部分钓鱼网站皆已失活。失活的部分钓鱼网站如下：

图2-4  仿冒imToken分发网页（2023.07）

图2-5 仿冒Trust Wallet分发网页（2023.07）

图2-6 仿冒TokenPocket分发网页（2023.07）

图2-7 应用市场kmyp.com.cn（2023.07）

3.  仿冒中文Telegram样本恶意性分析

图3-1 样本基本信息

对比正版应用，仿冒样本的Androidmanifest文件内增加了

图3-2 Androidmanifest文件对比

图3-3 包结构对比

图3-4 fpfoo包中实现恶意功能的类

图3-5 network包中C2服务器地址

图3-6 C2服务器传入数据接口

图3-7 保存手机电话号码

图3-8  替换虚拟货币地址接口

4. 同源样本

 图4-1  替换虚拟货币地址

 图4-2  替换虚拟货币地址

5. 服务器情况

样本C2服务器为https://coinfacai.com/，对应IP 47.242.27.166，归属地为美国加州。

 图5-1  IP查询

查询分发网站域名（telegram-zh.org.cn）显示注册者为“合肥某国际贸易有限公司”，该公司目前已被吊销。该域名对应的IP为118.107.246.54，归属地为中国香港。

 图5-2  IP查询

6. 受害者情况

■ 受害者资产损失情况

经仿冒中文版本Telegram样本分析，追踪到攻击者使用了40+钱包地址存储受害者进行交易活动时的转账资金，通过近几个月的观察，攻击者账户资产金额陆续增加，目前已知余额总计1680美元。

部分钱包内资金交易情况如下：

“bc1qt8lr2gacz******6hnlduk”比特币钱包目前余额553.04美元，最近一次交易为9月13日。

图6-1 比特币钱包

“3Hb1rvWcq*****SW9uS”比特币钱包余额375.04美元，最近一次交易3月13日。

图6-2 比特币钱包2

“0x62AB20ad*****41d169″币安币钱包余额771.74美元，最近一次交易10月8日。

图6-3 币安币钱包

该钱包近半年交易情况以及攻击者部分虚拟货币资产：

图6-4 近期交易详情

■ 受害者影响面

根据安天移动大数据查询此次攻击活动涉及的仿冒应用，发现国内受害者已超过7800人，少部分受害者位于菲律宾、柬埔寨、缅甸、老挝等周边国家。

7. 总结与建议

· 39AEEB00E908AEBF1E3090D301E10BA2

· 9B534665DE88F9FF96EBA0AC55A2196A

ip

· 118.107.246.54

· 47.242.27.166

url

· https://coinfacai[.]com/

· https://usdt-wallet[.]cn

· https://t0kenp0cket.org[.]cn

· https://mobile.jointsky[.]com/

· https://sxsfcc[.]com/

END

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。

原文始发于微信公众号（安天AVL威胁情报中心）：仿冒中文Telegram钓鱼攻击再现，新的金融攻击活动瞄准国内用户