Hơn mười nghìn người dùng bị phần mềm độc hại Bom tấn công, thiệt hại tài sản trên 1,82 triệu đô la.

Vào ngày 14 tháng 2 năm 2025, nhiều người dùng đã báo cáo rằng tài sản trong ví của họ bị đánh cắp. Phân tích dữ liệu trên chuỗi cho thấy, những trường hợp này đều phù hợp với đặc điểm của việc rò rỉ cụm từ khôi phục hoặc khóa riêng. Điều tra thêm cho thấy, hầu hết người dùng bị hại đều đã cài đặt và sử dụng một ứng dụng có tên là BOM. Nghiên cứu sâu hơn cho thấy, ứng dụng này thực chất là phần mềm độc hại được ngụy trang tinh vi, kẻ xấu đã dụ dỗ người dùng cấp quyền thông qua phần mềm này, sau đó trái phép lấy quyền truy cập cụm từ khôi phục/khóa riêng, từ đó chuyển giao tài sản một cách hệ thống và che giấu.

Phân tích phần mềm độc hại

Sau khi có sự đồng ý của người dùng, đội ngũ an ninh đã thu thập và phân tích một số tệp apk của ứng dụng BOM trên điện thoại của người dùng, đưa ra các kết luận sau:

1. Ứng dụng độc hại này sau khi vào trang hợp đồng, đã lừa đảo người dùng cấp quyền truy cập vào các tệp cục bộ và quyền truy cập album với lý do ứng dụng cần thực thi.

2. Sau khi nhận được sự ủy quyền của người dùng, ứng dụng này sẽ quét và thu thập các tệp phương tiện trong album ảnh của thiết bị ở chế độ nền, đóng gói và tải lên máy chủ. Nếu trong tệp hoặc album của người dùng chứa thông tin liên quan đến cụm từ ghi nhớ, khóa riêng, kẻ xấu có thể lợi dụng thông tin thu thập được để đánh cắp tài sản ví của người dùng.

quá trình phân tích

1. Phân tích chữ ký ứng dụng phát hiện, subject chữ ký không chuẩn, sau khi phân tích trở thành một chuỗi ký tự ngẫu nhiên vô nghĩa.

2. Đã đăng ký nhiều quyền trong tệp AndroidManifest, bao gồm quyền đọc và ghi tệp cục bộ, quyền đọc tệp phương tiện, quyền truy cập album ảnh và các quyền nhạy cảm khác.

3. Phân tích giải mã cho thấy ứng dụng này được phát triển bằng framework đa nền tảng uniapp, logic chính nằm trong app-service.js.

4. Khi trang contract được tải, sẽ kích hoạt một loạt các hoạt động, bao gồm khởi tạo thông tin thiết bị báo cáo, kiểm tra và yêu cầu quyền, thu thập và đọc tệp trong album, tải tệp lên, v.v.

5. Tên miền của giao diện tải lên đến từ bộ nhớ đệm cục bộ, có thể đã được ghi trong quá trình chạy lịch sử.

Phân tích tài chính trên chuỗi

Theo phân tích theo dõi trên chuỗi, hiện tại địa chỉ đánh cắp chính (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) đã đánh cắp ít nhất 13.000 tài khoản của người dùng, thu lợi hơn 1,82 triệu đô la.

Địa chỉ này có giao dịch đầu tiên vào ngày 12 tháng 2 năm 2025, nguồn vốn ban đầu có thể được truy vết đến một địa chỉ được đánh dấu là "Theft-盗取私钥".

Phân tích dòng tiền:

• BSC：Lợi nhuận khoảng 37,000 USD, chủ yếu sử dụng một số DEX để chuyển đổi một phần token sang BNB.

• Ethereum: Lợi nhuận khoảng 280.000 đô la, phần lớn đến từ ETH chuyển từ các chuỗi khác.

• Polygon：Lợi nhuận khoảng 37.000 hoặc 65.000 đô la Mỹ, hầu hết các mã thông báo đã được đổi thành POL qua một số DEX.

• Arbitrum: Lợi nhuận khoảng 37.000 đô la, đổi token sang ETH rồi chuyển qua chuỗi sang Ethereum.

• Cơ sở: Lợi nhuận khoảng 12,000 USD, đổi token sang ETH rồi chuyển chéo sang Ethereum.

Một địa chỉ hacker khác 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 đã thu lợi khoảng 650.000 USD, liên quan đến nhiều chuỗi, các USDT liên quan đều đã được chuyển chéo đến địa chỉ TRON.

Đề xuất an toàn

1. Không tải về phần mềm không rõ nguồn gốc, bao gồm cả cái gọi là "công cụ lừa đảo".

2. Đừng dễ dàng tin vào các liên kết tải phần mềm mà người khác giới thiệu, hãy kiên quyết tải từ các kênh chính thức.

3. Tải và cài đặt ứng dụng từ cửa hàng ứng dụng chính thức.

4. Bảo quản cẩn thận cụm từ khôi phục, tránh sử dụng ảnh chụp màn hình, chụp ảnh, ghi chú, ổ đĩa đám mây và các phương pháp lưu trữ điện tử khác.

5. Sử dụng phương pháp vật lý để lưu trữ cụm từ ghi nhớ, chẳng hạn như viết ra giấy, lưu trữ trong ví phần cứng, lưu trữ phân đoạn, v.v.

6. Thay đổi ví định kỳ giúp loại bỏ các rủi ro an ninh tiềm ẩn.

7. Sử dụng các công cụ theo dõi trên chuỗi chuyên nghiệp để giám sát và phân tích tiền, giảm thiểu rủi ro gặp phải lừa đảo hoặc sự cố lừa đảo.

8. Khuyến nghị đọc "Sổ tay tự cứu trong rừng đen của blockchain", nâng cao nhận thức về an ninh.