上万ユーザーがBomマルウェアの侵害を受け、資産損失は182万ドルを超える

2025年2月14日、多くのユーザーがウォレット資産の盗難を報告しました。オンチェーンデータ分析により、これらのケースはすべてニーモニックフレーズまたはプライベートキーの漏洩の特徴に一致していることが示されています。さらなる調査により、被害者のユーザーの多くがBOMという名前のアプリをインストールして使用していたことが分かりました。詳細な研究によれば、このアプリは巧妙に偽装された詐欺ソフトウェアであり、不正な者がこのソフトウェアを通じてユーザーに権限を付与させ、ニーモニックフレーズ/プライベートキーの権限を不法に取得し、その結果、システマティックに資産を移転し隠匿しています。

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれました

マルウェア分析

ユーザーの同意を得て、セキュリティチームは一部のユーザーの携帯電話にあるBOMアプリケーションのapkファイルを収集し、分析した結果、以下の結論に達しました：

1. この悪意のあるアプリは、契約ページに入った後、アプリの実行に必要であるという理由で、ユーザーにローカルファイルやアルバムの権限を許可させるように騙します。

2. ユーザーの承認を得た後、アプリケーションはバックグラウンドでデバイスのアルバム内のメディアファイルをスキャンし、収集し、それをパッケージ化してサーバーにアップロードします。ユーザーのファイルやアルバムにリカバリーフレーズや秘密鍵に関連する情報が保存されている場合、悪意のある者が収集した情報を利用してユーザーのウォレット資産を盗む可能性があります。

! OKX & SlowMist Joint Release|Bom Malware Swept Millions of Users Exhaust, Stolened Over $1.82 Million in Assets

分析プロセス

1. アプリケーション署名分析により、署名のsubjectが不規則であり、解析後は無意味なランダム文字列となります。

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

2. AndroidManifestファイルに多数の権限が登録されており、ローカルファイルの読み書き、メディアファイルの読み取り、アルバムなどのセンシティブな権限が含まれています。

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

3. 逆コンパイル分析によると、このアプリはクロスプラットフォームフレームワークuniappを使用して開発されており、主なロジックはapp-service.jsにあります。

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

4. contractページが読み込まれた後、一連の操作がトリガーされます。これには、デバイス情報の初期報告、権限の確認と要求、アルバムファイルの読み込み、ファイルのアップロードなどが含まれます。

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

5. アップロードインターフェースのドメイン名はローカルキャッシュから来ており、過去の実行時に書き込まれた可能性があります。

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

オンチェーン資金分析

チェーン上の追跡分析によると、現在、主要な盗難アドレス(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)は、少なくとも1.3万人のユーザーの資金を盗み、182万ドル以上の利益を上げています。

このアドレスの最初の取引は2025年2月12日に発生し、初期資金の出所は「Theft-盗取私钥」としてマークされたアドレスに遡ることができます。

資金の流れの分析：

• BSC：約3.7万ドルの利益を得て、主にあるDEXを使用して一部のトークンをBNBに交換しました。

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

• イーサリアム：約28万ドルの利益、ほとんどが他のチェーンからのクロスチェーンで移入されたETHから来ています。

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

• ポリゴン：約3.7万または6.5万ドルの利益、大部分のトークンはあるDEXでPOLに交換されました。

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

• アービトラム：約3.7万ドルの利益を得て、トークンをETHに交換してEthereumにクロスチェーンしました。

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

• ベース：約1.2万ドルの利益を得て、トークンをETHに交換した後、Ethereumにクロスチェーンします。

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗まれた

別のハッカーアドレス0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0は約65万ドルを得ており、複数のチェーンに関与しており、関連するUSDTはすべてTRONアドレスにクロスチェーンされています。

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

セキュリティ提案

1. 出所不明のソフトウェア、いわゆる「羊毛取りツール」をダウンロードしないでください。

2. 他人の推薦するソフトウェアダウンロードリンクを軽信せず、公式チャネルからダウンロードすることを守ってください。

3. 正規のアプリストアからアプリをダウンロードしてインストールします。

4. ニーモニックフレーズを適切に保管し、スクリーンショットや写真、メモ帳、クラウドストレージなどの電子的な方法で保存しないでください。

5. フィジカルな方法でニーモニックフレーズを保存します。例えば、紙に書き写したり、ハードウェアウォレットに保存したり、分割して保存するなどです。

6. 定期的にウォレットを変更することで、潜在的なセキュリティリスクを排除するのに役立ちます。

7. 専門的なオンチェーン追跡ツールを利用して資金を監視し分析し、詐欺やフィッシング事件に遭遇するリスクを低減します。

8. 《ブロックチェーン暗黒森林自救マニュアル》を読むことをお勧めします。安全意識を高めましょう。

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた