Mais de dez mil usuários foram afetados por malware Bom, com perdas de ativos superiores a 1,82 milhões de dólares.

No dia 14 de fevereiro de 2025, vários usuários relataram o roubo de ativos de suas carteiras. A análise de dados na blockchain mostra que esses casos apresentam características compatíveis com o vazamento de frases de recuperação ou chaves privadas. Investigações adicionais revelaram que a maioria dos usuários afetados havia instalado e utilizado um aplicativo chamado BOM. Estudos mais aprofundados indicam que este aplicativo é, na verdade, um software de fraude cuidadosamente disfarçado, e os criminosos, através deste software, induzem os usuários a autorizar, obtendo ilegalmente o acesso às frases de recuperação/chaves privadas, e, em seguida, transferem sistematicamente ativos e os ocultam.

análise de malware

Com a concordância dos usuários, a equipe de segurança coletou e analisou alguns arquivos apk do aplicativo BOM nos celulares dos usuários, chegando às seguintes conclusões:

1. Este aplicativo malicioso, após entrar na página do contrato, engana os usuários para autorizarem o acesso a arquivos locais e à galeria de fotos, alegando que é necessário para a execução do aplicativo.

2. Após obter a autorização do usuário, a aplicação escaneia e coleta arquivos de mídia da galeria do dispositivo em segundo plano, empacota e os envia para o servidor. Se os arquivos ou a galeria do usuário armazenarem informações relacionadas a palavras-passe, chaves privadas, criminosos poderão usar as informações coletadas para roubar os ativos da carteira do usuário.

processo de análise

1. A análise da assinatura da aplicação revelou que o assunto da assinatura não é padrão, sendo analisado como uma sequência de caracteres aleatórios sem significado.

2. No arquivo AndroidManifest, foram registadas muitas permissões, incluindo leitura e escrita de arquivos locais, leitura de arquivos de mídia, acesso a álbuns, entre outras permissões sensíveis.

3. A análise de descompilação mostra que o app foi desenvolvido com o framework multiplataforma uniapp, e a lógica principal está no app-service.js.

4. Após a página do contrato ser carregada, uma série de operações será acionada, incluindo a inicialização do relatório de informações do dispositivo, verificação e solicitação de permissões, coleta de arquivos da galeria, upload de arquivos, entre outros.

5. O domínio da interface de upload vem do cache local, que pode ter sido escrito em execuções anteriores.

Análise de fundos na cadeia

De acordo com a análise de rastreamento on-chain, o principal endereço de roubo de moedas (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) já roubou pelo menos 13 mil fundos de usuários, lucrando mais de 1,82 milhões de dólares.

A primeira transação deste endereço apareceu em 12 de fevereiro de 2025, e a fonte inicial de fundos pode ser rastreada até um endereço marcado como "Theft-盗取私钥".

Análise do fluxo de fundos:

• BSC: lucro de cerca de 37,000 dólares, utilizando principalmente um determinado DEX para trocar parte dos tokens por BNB.

• Ethereum: lucro de cerca de 280 mil dólares, a maior parte proveniente de ETH transferidos de outras cadeias.

• Polygon: lucro de cerca de 37 mil ou 65 mil dólares, a maior parte dos tokens já foi trocada por POL através de um certo DEX.

• Arbitrum: lucro de cerca de 37 mil dólares, token trocado por ETH e depois transferido para Ethereum.

• Base: lucro de cerca de 12.000 dólares, troca de tokens por ETH e depois transferência entre cadeias para Ethereum.

Outro endereço de hacker 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 lucrou cerca de 650 mil dólares, envolvendo várias cadeias, os USDT relacionados foram todos transferidos para um endereço TRON.

Recomendações de segurança

1. Nunca baixe software de fontes desconhecidas, incluindo as chamadas "ferramentas de exploração".

2. Não confie nas ligações para download de software recomendadas por outros, insista em baixar a partir de canais oficiais.

3. Baixe o App da loja de aplicativos oficial.

4. Guarde a frase de recuperação de forma segura, evitando o uso de capturas de tela, fotos, blocos de notas, armazenamento em nuvem e outros métodos eletrônicos.

5. Usar métodos físicos para guardar a frase de recuperação, como escrevê-la em papel, armazená-la em uma carteira de hardware, ou armazená-la em partes.

6. Trocar regularmente de carteira ajuda a eliminar potenciais riscos de segurança.

7. Utilizar ferramentas de rastreamento em cadeia profissionais para monitorar e analisar fundos, reduzindo o risco de ser vítima de fraudes ou ataques de phishing.

8. Recomenda-se a leitura do "Manual de Autoproteção da Floresta Negra do Blockchain" para aumentar a consciência de segurança.