Más de diez mil usuarios sufrieron la invasión de malware Bom, con pérdidas de activos superiores a 1.82 millones de dólares.

El 14 de febrero de 2025, varios usuarios informaron que sus activos en la billetera habían sido robados. El análisis de datos en la cadena muestra que estos casos cumplen con las características de la filtración de palabras clave o claves privadas. Una investigación más profunda reveló que la mayoría de los usuarios afectados habían instalado y utilizado una aplicación llamada BOM. Un estudio más detallado indica que esta aplicación es en realidad un software de fraude cuidadosamente disfrazado, a través del cual los delincuentes inducen a los usuarios a autorizarlo, obteniendo ilegalmente los permisos de palabras clave/claves privadas, lo que les permite transferir sistemáticamente activos y ocultarlos.

Análisis de malware

Con el consentimiento del usuario, el equipo de seguridad recopiló y analizó algunos archivos apk de la aplicación BOM en los teléfonos móviles de los usuarios y llegó a las siguientes conclusiones:

1. Esta aplicación maliciosa, al entrar en la página del contrato, engaña a los usuarios para que autoricen permisos de archivos locales y de álbumes, bajo el pretexto de que son necesarios para el funcionamiento de la aplicación.

2. Después de obtener la autorización del usuario, la aplicación escanea y recopila en segundo plano los archivos multimedia de la galería del dispositivo, los empaqueta y los sube al servidor. Si los archivos del usuario o la galería contienen información relacionada con frases de recuperación o claves privadas, los delincuentes podrían utilizar la información recopilada para robar los activos de la billetera del usuario.

proceso de análisis

1. El análisis de la firma de la aplicación encontró que el sujeto de la firma no es estándar, y al analizarlo se convierte en una cadena de caracteres aleatorios sin sentido.

2. Se registraron numerosos permisos en el archivo AndroidManifest, incluidos permisos sensibles como leer y escribir archivos locales, leer archivos multimedia, álbumes, etc.

3. El análisis de la descompilación muestra que la aplicación fue desarrollada con el marco multiplataforma uniapp, y la lógica principal se encuentra en app-service.js.

4. Después de que se cargue la página del contrato, se activará una serie de operaciones, incluyendo la inicialización de la información del dispositivo de informes, la verificación y solicitud de permisos, la recopilación de archivos de la galería, la carga de archivos, etc.

5. El nombre de dominio de la interfaz de carga proviene de la caché local, que puede haberse escrito en ejecuciones históricas.

Análisis de fondos en cadena

Según el análisis de rastreo en la cadena, la dirección principal de robo de monedas (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) ha robado fondos de al menos 13,000 usuarios, obteniendo ganancias superiores a 1.82 millones de dólares.

La primera transacción de esta dirección apareció el 12 de febrero de 2025, y la fuente de los fondos iniciales se puede rastrear hasta una dirección marcada como "Theft-盗取私钥".

Análisis de flujo de fondos:

• BSC: Ganancia de aproximadamente 37,000 dólares, utilizando principalmente un DEX para cambiar algunos tokens por BNB.

• Ethereum: ganancias de aproximadamente 280,000 dólares, la mayor parte proviene de ETH transferido desde otras cadenas.

• Polygon: ganancia de aproximadamente 37,000 o 65,000 dólares, la mayoría de los tokens ya se han cambiado por POL a través de algún DEX.

• Arbitrum: Ganancia de aproximadamente 37,000 dólares, el token se intercambia por ETH y se transfiere a Ethereum.

• Base: Ganancias de aproximadamente 12,000 dólares, los tokens se intercambian por ETH y se transfieren a Ethereum.

Otra dirección de hacker 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 obtuvo ganancias de aproximadamente 650,000 dólares, involucrando múltiples cadenas, y los USDT relevantes se transfirieron a la dirección de TRON.

Consejos de seguridad

1. No descargues software de fuentes desconocidas, incluidos los llamados "herramientas para aprovecharse de las ofertas".

2. No confíes en los enlaces de descarga de software recomendados por otros, asegúrate de descargar desde canales oficiales.

3. Descarga e instala la aplicación desde la tienda de aplicaciones oficial.

4. Almacene adecuadamente la frase de recuperación, evitando usar capturas de pantalla, fotos, notas, discos en la nube u otros métodos electrónicos.

5. Utilice métodos físicos para guardar su frase de recuperación, como escribirla en papel, almacenarla en una billetera de hardware, o dividirla en partes y almacenarla.

6. Cambiar de billetera periódicamente ayuda a eliminar riesgos de seguridad potenciales.

7. Utilizar herramientas profesionales de seguimiento en cadena para monitorear y analizar fondos, reduciendo el riesgo de ser víctima de fraudes o ataques de phishing.

8. Se recomienda leer "El manual de autoayuda del bosque oscuro de blockchain" para aumentar la conciencia de seguridad.