Более десяти тысяч пользователей пострадали от вредоносных программ Bom, убытки составили более 1,82 миллиона долларов

14 февраля 2025 года несколько пользователей сообщили о краже средств из своих кошельков. Анализ данных в блокчейне показывает, что эти случаи соответствуют характеристикам утечки мнемонических фраз или приватных ключей. Дальнейшее расследование выявило, что большинство пострадавших пользователей ранее устанавливали и использовали приложение под названием BOM. Углубленное исследование показало, что это приложение на самом деле является тщательно замаскированным мошенническим ПО, с помощью которого злоумышленники после получения разрешения от пользователей незаконно получают доступ к мнемоническим фразам/приватным ключам, а затем систематически переводят активы и скрывают их.

Анализ вредоносных программ

С согласия пользователей команда безопасности собрала и проанализировала некоторые apk-файлы приложений BOM на мобильных телефонах пользователей и сделала следующие выводы:

1. Это вредоносное приложение, перейдя на страницу контракта, обманывает пользователя, требуя разрешения на доступ к локальным файлам и галерее под предлогом необходимости работы приложения.

2. Получив разрешение пользователя, данное приложение в фоновом режиме сканирует и собирает медиафайлы из галереи устройства, упаковывает их и загружает на сервер. Если в файлах пользователя или в галерее хранится информация, связанная с мнемоническими фразами или приватными ключами, злоумышленники могут использовать собранную информацию для кражи активов кошелька пользователя.

Анализ процесса

1. Анализ подписи приложения показал, что subject подписи некорректен, после разбора получается набор бессмысленных случайных символов.

2. В файле AndroidManifest зарегистрировано множество разрешений, включая чтение и запись локальных файлов, чтение медиафайлов, доступ к альбомам и другим чувствительным разрешениям.

3. Декомпиляционный анализ показывает, что это приложение разработано с использованием кросс-платформенного фреймворка uniapp, основная логика находится в app-service.js.

4. После загрузки страницы контракта будет запущена серия операций, включая инициализацию информации об устройстве, проверку и запрос разрешений, сбор файлов из альбома, загрузку файлов и т. д.

5. Домен имени интерфейса загрузки берется из локального кеша и мог быть записан в процессе исторической работы.

Анализ средств в блокчейне

Согласно анализу отслеживания в блокчейне, в настоящее время основной адрес для кражи монет (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) украл как минимум средства у 13,000 пользователей, получив прибыль более 1.82 миллиона долларов.

Первая транзакция по этому адресу произошла 12 февраля 2025 года, первоначальный источник средств можно проследить до адреса, помеченного как "Theft-盗取私钥".

Анализ потоков средств:

• BSC: прибыль около 37 тысяч долларов, в основном используя один DEX, чтобы обменять часть токенов на BNB.

• Эфириум: прибыль около 280000 долларов, большая часть из которых поступила из ETH, переведенного с других цепочек.

• Polygon: прибыль около 37 тысяч или 65 тысяч долларов, большая часть токенов уже обменяна на POL через какой-то DEX.

• Arbitrum: прибыль около 37 000 долларов, токены обменены на ETH и переведены в Ethereum.

• База: прибыль около 12 000 долларов, токены обменены на ETH и кросс-чейн на Ethereum.

Другой хакерский адрес 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 получил прибыль около 650000 долларов, затрагивая несколько цепочек, связанные USDT были перекрестно отправлены на адрес TRON.

Рекомендации по безопасности

1. Не скачивайте программы из ненадежных источников, включая так называемые "инструменты для получения выгоды".

2. Не доверяйте ссылкам для загрузки программного обеспечения, рекомендованным другими, и загружайте только из официальных источников.

3. Установите приложение из официального магазина приложений.

4. Надежно храните мнемоническую фразу, избегая использования скриншотов, фотографий, записных книжек, облачных хранилищ и других электронных способов хранения.

5. Используйте физические способы хранения мнемонических фраз, такие как запись на бумаге, хранение в аппаратном кошельке, раздельное хранение и т.д.

6. Регулярная смена кошелька помогает устранить потенциальные риски безопасности.

7. Используйте профессиональные инструменты для отслеживания транзакций в блокчейне для мониторинга и анализа средств, чтобы снизить риск мошенничества или фишинга.

8. Рекомендуется прочитать «Справочник по самопомощи в темном лесу блокчейна», чтобы повысить осведомленность о безопасности.