تعرض الآلاف من المستخدمين لبرمجيات خبيثة من نوع Bom، وخسرت الأصول أكثر من 1.82 مليون دولار

في 14 فبراير 2025، أبلغ العديد من المستخدمين عن سرقة أصول محفظتهم. تظهر بيانات التحليل على السلسلة أن هذه الحالات تتوافق جميعها مع خصائص تسرب العبارة التذكارية أو المفتاح الخاص. وكشفت التحقيقات الإضافية أن معظم المستخدمين الضحايا كانوا قد قاموا بتثبيت واستخدام تطبيق يدعى BOM. وأظهرت الأبحاث المتعمقة أن هذا التطبيق هو في الواقع برنامج احتيالي متقن التمويه، حيث يقوم المجرمون من خلال هذا البرنامج بتحفيز المستخدمين على التفويض، مما يتيح لهم الوصول غير القانوني إلى صلاحيات العبارة التذكارية/المفتاح الخاص، وبالتالي نقل الأصول بشكل منهجي وإخفائها.

تحليل البرمجيات الخبيثة

بموافقة المستخدم، قامت فريق الأمان بجمع وتحليل بعض ملفات apk لتطبيق BOM على هواتف المستخدمين، وخلصت إلى الاستنتاجات التالية:

1. هذا التطبيق الخبيث، بعد الدخول إلى صفحة العقد، يخدع المستخدمين للحصول على إذن ملفات النظام المحلي وصلاحيات الألبوم بحجة حاجة التطبيق للتشغيل.

2. بعد الحصول على إذن المستخدم، يقوم التطبيق في الخلفية بمسح وجمع ملفات الوسائط الموجودة في ألبوم الجهاز، ثم يقوم بتعبئتها ورفعها إلى الخادم. إذا كانت هناك معلومات تتعلق بالكلمات السرية أو المفاتيح الخاصة مخزنة في ملفات المستخدم أو الألبوم، فقد يستغل المجرمون المعلومات المجمعة لسرقة أصول محفظة المستخدم.

عملية التحليل

1. أظهر تحليل توقيع التطبيق أن موضوع التوقيع غير منتظم، وتم تفسيره على أنه سلسلة من الأحرف العشوائية التي لا معنى لها.

! الإصدار المشترك من OKX & SlowMist | اجتاحت البرامج الضارة BOM عشرات الآلاف من المستخدمين ، وسرقة أكثر من 1.82 مليون دولار من الأصول

2. تم تسجيل عدد كبير من الأذونات في ملف AndroidManifest، بما في ذلك إذن قراءة وكتابة الملفات المحلية، وقراءة ملفات الوسائط، وأذونات الوصول إلى الألبومات الحساسة.

3. تحليل فك التشفير يظهر أن التطبيق تم تطويره باستخدام إطار العمل متعدد المنصات uniapp، واللوجيك الرئيسي يوجد في app-service.js.

4. بعد تحميل صفحة العقد، سيتم تفعيل سلسلة من العمليات، بما في ذلك تهيئة الإبلاغ عن معلومات الجهاز، والتحقق من الأذونات وطلبها، وجمع ملفات قراءة الألبوم، وتحميل الملفات، إلخ.

5. يتم الحصول على اسم المجال لواجهة التحميل من ذاكرة التخزين المحلية، وقد تم كتابته أثناء التشغيل التاريخي.

تحليل الأموال على السلسلة

وفقًا لتحليل تتبع السلسلة، فإن عنوان سرقة العملات الرئيسي الحالي (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) قد سرق أموال ما لا يقل عن 13,000 مستخدم، محققًا أرباحًا تتجاوز 1.82 مليون دولار.

ظهرت أول معاملة لهذه العنوان في 12 فبراير 2025 ، ويمكن تتبع مصدر الأموال الأولية إلى عنوان تم تمييزه بـ "Theft-盗取私钥".

تحليل تدفق الأموال:

• BSC: حقق ربحًا يبلغ حوالي 37,000 دولار أمريكي، حيث تم استخدام بعض DEX لتحويل جزء من الرموز إلى BNB.

• الإيثيريوم: تحقيق ربح حوالي 280,000 دولار، معظمها来自 تحويلات ETH عبر سلاسل أخرى.

! إصدار مشترك من OKX & SlowMist | اجتاحت البرامج الضارة BOM عشرات الآلاف من المستخدمين ، وسرقة أكثر من 1.82 مليون دولار من الأصول

• بوليغون: حققت ربحًا يقارب 37,000 أو 65,000 دولار أمريكي، تم تحويل معظم الرموز عبر بعض DEX إلى POL.

• Arbitrum: حقق ربحًا يقارب 37000 دولار، تم تحويل الرمز إلى ETH ثم تم نقله عبر السلسلة إلى Ethereum.

• Base：حقق ربحًا قدره حوالي 12000 دولار أمريكي، تم تحويل الرموز إلى ETH ثم عبرت إلى Ethereum.

عنوان هاكر آخر 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 حقق ربحًا يقارب 650,000 دولار أمريكي، ويتعلق بعدة سلاسل، وتم نقل جميع USDT المرتبطة إلى عنوان TRON.

نصائح الأمان

1. لا تقم بتنزيل البرمجيات التي لا تعرف مصدرها، بما في ذلك ما يسمى "أدوات حصاد الغنم".

2. لا تثق برابط تحميل البرامج الموصى بها من الآخرين، وكن حريصًا على التحميل من القنوات الرسمية.

3. قم بتنزيل التطبيق من متجر التطبيقات الرسمي.

4. احفظ عبارة الاسترداد بشكل آمن، وتجنب استخدام لقطات الشاشة، أو التصوير، أو المفكرات، أو خدمات التخزين السحابي لحفظها.

5. استخدم طرقًا مادية لحفظ عبارة الاسترداد، مثل كتابتها على الورق، أو حفظها في محفظة الأجهزة، أو تخزينها في أقسام.

6. تغيير المحفظة بشكل دوري يساعد في القضاء على المخاطر الأمنية المحتملة.

7. استخدام أدوات تتبع السلسلة الاحترافية لمراقبة الأموال وتحليلها، وتقليل مخاطر التعرض لعمليات الاحتيال أو الهجمات التصيد.

8. يُنصح بقراءة "دليل النجاة في غابة blockchain المظلمة" لزيادة الوعي بالأمان.

! [الإصدار المشترك من OKX & SlowMist | اجتاحت البرامج الضارة BOM عشرات الآلاف من المستخدمين ، وسرقة أكثر من 1.82 مليون دولار من الأصول] (https://img-cdn.gateio.im/webp-social/moments-87282c1ba077df2b00c26eedc241e222.webp)