Понад десять тисяч користувачів постраждали від шкідливих програм Bom, збитки перевищили 1,82 мільйона доларів США

14 лютого 2025 року кілька користувачів повідомили про крадіжку активів з гаманців. Аналіз даних в блокчейні показує, що ці випадки відповідають характеристикам витоку мнемонічних фраз або приватних ключів. Подальше розслідування виявило, що більшість постраждалих користувачів раніше встановлювали та використовували додаток під назвою BOM. Глибше дослідження показало, що цей додаток насправді є ретельно замаскованим шкідливим програмним забезпеченням, злочинці через цей додаток спонукали користувачів надати дозвіл, після чого незаконно отримували доступ до мнемонічних фраз/приватних ключів, в результаті чого систематично переміщали активи та приховували їх.

Шкідливі програми аналіз

За згодою користувачів команда безпеки зібрала та проаналізувала частину apk-файлів програми BOM на телефонах користувачів і дійшла таких висновків:

1. Цей шкідливий додаток, потрапивши на сторінку контракту, обманює користувачів, щоб вони надали доступ до локальних файлів та фотографій під приводом потреби в роботі застосунку.

2. Отримавши дозвіл користувача, цей додаток у фоновому режимі сканує та збирає медіафайли з галереї пристрою, пакує їх та завантажує на сервер. Якщо у файлах користувача або в галереї зберігається інформація, пов'язана з мнемонічними фразами або приватними ключами, зловмисники можуть скористатися зібраною інформацією для крадіжки активів користувача з гаманця.

процес аналізу

1. Аналіз підпису застосунку виявив, що підпис subject не є стандартним, після розбору він являє собою рядок безглуздих випадкових символів.

2. У файлі AndroidManifest зареєстровано велику кількість дозволів, включаючи читання та запис локальних файлів, читання медіафайлів, доступ до альбому та інші чутливі дозволи.

3. Аналіз декомпіляції показує, що цей додаток розроблений за допомогою крос-платформенного фреймворку uniapp, основна логіка знаходиться в app-service.js.

4. Після завантаження сторінки контракту буде ініційовано ряд операцій, включаючи ініціалізацію звіту про інформацію пристрою, перевірку та запит прав, збір даних про читання файлів з альбому, завантаження файлів тощо.

5. Доменне ім'я інтерфейсу завантаження походить з локального кешу, можливо, було записано під час історичного виконання.

Аналіз коштів на ланцюгу

Згідно з аналізом на основі блокчейну, наразі основна адреса для крадіжки монет (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) вкрала кошти щонайменше 13 тисяч користувачів, отримавши прибуток понад 1,82 мільйона доларів.

Ця адреса перша транзакція з'явилася 12 лютого 2025 року, початкове фінансування можна відстежити до адреси, позначеної як "Theft-盗取私钥".

Аналіз руху капіталу:

• BSC: прибуток близько 37 тисяч доларів, в основному використовуючи певний DEX для обміну частини токенів на BNB.

• Ethereum: прибуток приблизно 280 тисяч доларів, більшість з яких надійшла з переходу ETH з інших ланцюгів.

• Polygon: отримано прибуток приблизно 37 тисяч або 65 тисяч доларів, більшість токенів вже обміняно на POL через певний DEX.

• Arbitrum: отримано прибуток близько 37 000 доларів США, токени обміняні на ETH та перенесені на Ethereum.

• База: прибуток приблизно 12 000 доларів США, токен обмінюється на ETH і перетворюється на Ethereum.

Інша адреса хакера 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 отримала прибуток приблизно 650 000 доларів США, залучаючи кілька ланцюгів; відповідні USDT були переміщені між ланцюгами на адресу TRON.

Рекомендації з безпеки

1. Ніколи не завантажуйте програмне забезпечення з невідомих джерел, включаючи так звані "інструменти для отримання прибутку".

2. Не довіряйте посиланням для завантаження програмного забезпечення, рекомендованим іншими, дотримуйтеся завантаження з офіційних каналів.

3. Завантажте додаток з офіційного магазину додатків.

4. Належним чином зберігайте мнемонічну фразу, уникайте зберігання за допомогою скріншотів, фотографій, блокнотів, хмарних дисків та інших електронних способів.

5. Використовуйте фізичні способи зберігання мнемонічних фраз, такі як запис на папері, зберігання в апаратному гаманці, сегментоване зберігання тощо.

6. Регулярна зміна гаманців допомагає усунути потенційні ризики безпеки.

7. Використовуйте професійні інструменти для моніторингу та аналізу коштів на блокчейні, щоб зменшити ризик потрапляння під шахрайство або фішинг.

8. Рекомендується прочитати «Посібник по самозахисту в темному лісі блокчейну», щоб підвищити обізнаність про безпеку.