搜索
恶意软件BOM盗取超182万美元,用户警惕!
2025 年 2 月 14 日,多位用户反映钱包资产被盗,经过链上数据分析,发现被盗案例均与助记词/私钥泄漏相关。进一步回访受害者,发现他们大多曾使用过一款名为 BOM 的应用。深入调查揭示,该应用实则是个精心伪装的诈骗软件,黑客通过诱导用户授权,非法获取助记词/私钥,从而实施系统性的资产转移并隐匿。为此,SlowMist AML 团队和 OKX Web3 安全团队对该恶意软件的作案手法进行了调查和披露,并进行链上追踪分析,以希望给更多用户提供安全警示与建议。🔍
一、恶意软件分析(OKX)
在得到用户同意后,OKX Web3 安全团队收集了部分用户手机上的 BOM 应用程序的 apk 文件进行分析,具体细节如下:
(一)结论
-
该恶意 app 在进入合约页面后,以“应用运行需要”为由,欺骗用户授权本地文件和相册权限。
-
获取授权后,该应用在后台扫描并收集设备相册中的媒体文件,打包并上传至服务端。如果用户的相册中存有助记词或私钥相关信息,黑客可能因此盗取用户钱包资产。💰
(二)分析过程
1、样本初步分析
1)应用签名分析
- 应用签名 subject 不规范,解析后为 adminwkhvjv,这一串字符毫无意义,正常应用的签名一般应为有意义的字母组合。
2)恶意权限分析
- 在该应用的 AndroidManifest 文件中,注册了大量权限,包括读写本地文件、读取媒体文件、相册等敏感权限。
2、动态分析
- 由于分析时应用后端接口服务已下线,无法进行动态分析。
3、反编译分析
-
反编译后发现,该应用中 dex 类的数量极少,针对这些类进行了静态分析。
-
主要逻辑为解密一些文件并加载 application:
在 assets 目录下发现 uniapp 的产物文件,表明该 app 是使用跨平台框架 uniapp 开发的。
在 uniapp 框架下,主要逻辑位于产物文件 app-service.js 中,部分关键代码则被加密在 app-confusion.js 中,我们主要从 app-service.js 开始分析。🕵️♂️
1)触发入口 在各个页面的注册入口,发现了一个叫做 contract 的页面。
- 对应的函数 index 是 6596。
2)设备信息初始化上报
contract 页面加载后,回调函数 onLoad() 会触发 doContract()。
在 doContract() 里会调用 initUploadData()。
initUploadData() 首先会检查网络状况和图片、视频列表是否为空,最后会执行回调 e()。
这个回调 e() 实际上是 getAllAndIOS()。
3)检查和请求权限
在 iOS 中,会先请求权限,并用“应用正常运行需要”的文案诱导用户同意。这种请求授权的行为相当可疑,作为区块链应用,正常运行与相册权限并没有直接关系,明显超出了应用的正常需求。
Android 端也会先判断并申请相册权限。
4)收集读取相册文件
接着在 androidDoingUp 中读取图片和视频并进行打包。
5)上传相册文件
最后通过 uploadBinFa()、uploadZipBinFa() 和 uploadDigui() 实现上传,上传接口的 path 是一串随机字符。
iOS 的流程类似,获取权限后,通过 getScreeshotAndShouchang() 开始上传内容。
6)上传接口
上报 url 中的 commonUrl 域名来自 /api/bf9023/c99so 接口的返回。
这个接口的 domain 来源于 uniapp 的本地缓存。
未找到写入缓存的代码,可能被加密混淆,存在于 app-confusion.js 中,在一次历史运行时于应用缓存中发现该 domain。
二、链上资金分析(微小发报道)
根据 SlowMist AML 旗下的链上追踪和反洗钱工具 MistTrack 的分析,目前的主要盗币地址 (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) 已经盗取了至少 1.3 万名用户的资金,获利超过 182 万美元。
(https://dune.com/queries/4721460) 该地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 的首笔交易发生在 2025年2月12日,由地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35 转入 0.001 BNB 作为启动资金💰:
分析该地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35,其首笔交易同样出现在 2025年2月12日,初始资金来源于被 MistTrack 标记为 “Theft-盗取私钥” 的地址 0x71552085c854EeF431EE55Da5B024F9d845EC976🔍:
继续跟踪初始黑客地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 的资金流向:
-
BSC:获利约 3.7 万美元,包含 USDC, USDT, WBTC 等币种,常通过 PancakeSwap 将部分代币换为 BNB。目前该地址余额为 611 BNB 和价值约 12 万美元 的代币,如 USDT, DOGE, FIL。
-
Ethereum:获利约 28 万美元,大部分来自其他链跨链转入的 ETH,随后转移 100 ETH 到 0x7438666a4f60c4eedc471fa679a43d8660b856e0。该地址还收到了上述地址 0x71552085c854EeF431EE55Da5B024F9d845EC976 转入的 160 ETH,共计 260 ETH 尚未转出。
-
Polygon:获利约 3.7 或 6.5 万美元,涉及 WBTC, SAND, STG 等币种,大部分代币已通过 OKX-DEX 兑换为 66,986 POL,目前黑客地址余额如下:
-
Arbitrum:获利约 3.7 万美元,包括 USDC, USDT, WBTC 等币种,代币已兑换为 ETH,共计 14 ETH 通过 OKX-DEX 跨链到 Ethereum。
-
Base:获利约 1.2 万美元,包括 FLOCK, USDT, MOLLY 等币种,代币兑换为 ETH,共计 4.5 ETH 通过 OKX-DEX 跨链到 Ethereum。
其他链的情况就不多说了,我们还对受害者提供的另一黑客地址进行了简单分析。🔍✨ 黑客地址 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 的首笔交易记录显示在2025年2月13日,获利大约 65万美元,涉及多条链,相关的 USDT 已跨链到 TRON 地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx。
该地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx 共收到了 703,119.2422 USDT,当前余额为 288,169.2422 USDT。其中 83,000 USDT 被转入地址 TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus,尚未转出。剩余的 331,950 USDT 则转入了曾与 Huionepay 交互的地址 THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。
我们将持续监控相关余额地址的动向。👀
三、安全建议
为了提升用户的防护意识,微小发报道 整理了以下安全提示,结合了 SlowMist AML 团队与 OKX Web3 安全团队的建议:
-
别下载不明来源的软件(包括那些所谓的“薅羊毛工具”,和任何发行方不清楚的软件)。
-
不要轻信朋友或社群推荐的软件下载链接,只认准官方渠道。
-
通过正规渠道下载安装 App,像 Google Play、App Store 这样的官方应用商店。
-
妥善保存助记词,避免使用截图、拍照、记事本、云盘等方式保存。OKX 钱包移动端已禁止截图私钥和助记词页面。
-
物理保存助记词,建议抄写在纸上、存入硬件钱包,或分段存储(将助记词/私钥拆分存放在不同位置)。
-
定期更换钱包,这样有助于降低潜在安全风险。
-
利用专业的链上追踪工具,比如 MistTrack (https://misttrack.io/),对资金进行监控和分析,降低遭遇诈骗或钓鱼的风险,保障资产安全。
-
强烈推荐阅读 SlowMist 创始人余弦撰写的《区块链黑暗森林自救手册》 ( https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md )。📚
免责声明 嘿,听着,下面这些话可得认真看哦:
-
注意哦:这内容仅供参考,别当成投资建议、买卖数字资产的邀请,或者财务、法律、会计、税务指导。
-
信息准确性:我们不保证这些信息是100%准确、完整或有用的,了解吗?
-
风险警示:数字资产(包括稳定币和NFT)可是市场波动的主角,风险高得让人心跳加速,可能会贬值,甚至一文不值。💸
-
自我考量:在交易或持有数字资产之前,务必考虑自己的财务状况和风险承受能力。
-
专业建议:具体问题请咨询法律、税务或投资方面的专业人士,别自己瞎猜!
-
地区限制:并不是所有产品在所有地区都能用哦。
-
更多信息:想要了解更多,查看 OKX 的服务条款和风险披露&免责声明吧。OKX Web3 移动钱包及其相关服务有自己的条款,了解当地法律和法规,得自己负责哦!⚖️
