Plus de dix mille utilisateurs ont été victimes de malware Bom, avec des pertes d'actifs dépassant 1,82 million de dollars.

Le 14 février 2025, plusieurs utilisateurs ont signalé que les actifs de leurs portefeuilles avaient été volés. L'analyse des données sur la chaîne montre que ces cas présentent tous les caractéristiques d'une fuite de phrase de récupération ou de clé privée. Une enquête plus approfondie a révélé que la plupart des utilisateurs victimes avaient installé et utilisé une application appelée BOM. Des recherches approfondies montrent que cette application est en réalité un logiciel de fraude soigneusement déguisé, les malfaiteurs incitant les utilisateurs à autoriser l'accès, obtenant illégalement les droits de phrase de récupération/clés privées, puis transférant systématiquement les actifs et les dissimulant.

Analyse des malwares

Avec l'accord des utilisateurs, l'équipe de sécurité a collecté et analysé certains fichiers apk de l'application BOM sur les téléphones des utilisateurs, et a tiré les conclusions suivantes :

1. Cette application malveillante trompe les utilisateurs en leur demandant d'autoriser l'accès aux fichiers locaux et aux photos sous prétexte que l'application a besoin de ces permissions pour fonctionner sur la page des contrats.

2. Après avoir obtenu l'autorisation de l'utilisateur, l'application scanne en arrière-plan et collecte les fichiers multimédias dans l'album de l'appareil, les empaquette et les télécharge vers le serveur. Si les fichiers ou l'album de l'utilisateur contiennent des informations liées aux phrases mnémoniques ou aux clés privées, des individus malveillants pourraient utiliser les informations collectées pour voler les actifs du portefeuille de l'utilisateur.

processus d'analyse

1. L'analyse de la signature de l'application a révélé que le sujet de la signature n'est pas conforme, et après analyse, il s'agit d'une série de caractères aléatoires sans signification.

2. Un grand nombre de permissions ont été enregistrées dans le fichier AndroidManifest, y compris les permissions sensibles telles que la lecture et l'écriture de fichiers locaux, la lecture de fichiers multimédias, l'accès à la galerie, etc.

3. L'analyse de décompilation montre que cette application est développée avec le cadre multiplateforme uniapp, la logique principale se trouve dans app-service.js.

4. Une fois la page du contrat chargée, une série d'opérations sera déclenchée, y compris l'initialisation des informations sur l'appareil, la vérification et la demande de permissions, la collecte des fichiers de la galerie, le téléchargement de fichiers, etc.

5. Le nom de domaine de l'interface de téléchargement provient du cache local, qui peut avoir été écrit lors d'exécutions historiques.

Analyse des fonds en chaîne

Selon l'analyse de suivi en chaîne, l'adresse principale de vol (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) a déjà volé les fonds d'au moins 13 000 utilisateurs, réalisant un profit de plus de 1,82 million de dollars.

La première transaction à cette adresse a eu lieu le 12 février 2025, et la source initiale des fonds peut être retracée à une adresse marquée comme "Theft-盗取私钥".

Analyse des flux de fonds :

• BSC : profit d'environ 37 000 $, principalement en utilisant un certain DEX pour échanger une partie des jetons contre des BNB.

• Ethereum : bénéfice d'environ 280 000 $, la plupart provenant d'ETH transféré depuis d'autres chaînes.

• Polygon : bénéfice d'environ 37 000 ou 65 000 dollars, la plupart des jetons ont été échangés contre du POL via un certain DEX.

• Arbitrum : bénéfice d'environ 37 000 $, échangé en jetons pour ETH puis transféré sur Ethereum.

• Base : bénéfice d'environ 12 000 dollars, échange de tokens en ETH puis transfert inter-chaînes vers Ethereum.

Une autre adresse de hacker 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 a réalisé un profit d'environ 650 000 dollars, impliquant plusieurs chaînes, les USDT correspondants ayant été transférés sur une adresse TRON.

Conseils de sécurité

1. Ne téléchargez jamais de logiciels provenant de sources inconnues, y compris les soi-disant "outils de profit facile".

2. Ne croyez pas aux liens de téléchargement de logiciels recommandés par d'autres, insistez pour télécharger depuis des canaux officiels.

3. Téléchargez l'application depuis un magasin d'applications officiel.

4. Conservez correctement votre phrase de récupération, évitez d'utiliser des captures d'écran, des photos, des notes, des disques cloud et d'autres moyens électroniques pour la sauvegarder.

5. Utiliser des moyens physiques pour sauvegarder la phrase de récupération, par exemple en l'écrivant sur du papier, en la stockant dans un portefeuille matériel, en la stockant par segments, etc.

6. Changer régulièrement de portefeuille peut aider à éliminer les risques de sécurité potentiels.

7. Utilisez des outils de traçage on-chain professionnels pour surveiller et analyser les fonds, afin de réduire le risque de fraude ou d'escroquerie.

8. Il est recommandé de lire le « Manuel de survie dans la forêt noire de la blockchain » pour améliorer la sensibilisation à la sécurité.