Análisis del incidente de ataque Bom de malware

El 14 de febrero de 2025, varios usuarios informaron que los activos de sus billeteras habían sido robados. Tras investigar, se descubrió que los casos de robo mostraban características de filtración de frases de recuperación o claves privadas. Se descubrió además que la mayoría de los usuarios afectados habían instalado y utilizado una aplicación llamada BOM. Un análisis más profundo reveló que esta aplicación era en realidad un software de fraude cuidadosamente disfrazado. Los delincuentes inducen a los usuarios a otorgar permisos a través de este software, obteniendo ilegalmente acceso a las frases de recuperación/claves privadas, lo que les permite llevar a cabo una transferencia sistemática de activos y ocultarlos.

Análisis de malware

Un equipo de seguridad ha recopilado y analizado archivos apk de aplicaciones BOM en los teléfonos de algunos usuarios y ha llegado a las siguientes conclusiones:

1. Esta aplicación maliciosa engaña a los usuarios para que autoricen los permisos de archivos locales y álbumes, bajo el pretexto de que necesita ejecutarse al acceder a la página del contrato.

2. Después de obtener la autorización, la aplicación escanea y recopila en segundo plano los archivos multimedia de la galería del dispositivo, empaquetándolos y subiéndolos al servidor. Si los archivos del usuario o la galería contienen información relacionada con frases de recuperación o claves privadas, los delincuentes pueden utilizar la información recopilada para robar los activos de la billetera del usuario.

El proceso de análisis ha identificado los siguientes puntos sospechosos:

• La firma de la aplicación no es estándar, el sujeto es una cadena de caracteres aleatoria.
• Se registraron numerosos permisos sensibles en el archivo AndroidManifest.
• Desarrollado con el marco multiplataforma uniapp, la lógica principal está en app-service.js
• Disparar el informe de inicialización de información del dispositivo al cargar la página de contrato
• Engañar a los usuarios para que autoricen los permisos de la galería bajo el pretexto de que la aplicación necesita funcionar correctamente.
• Leer y empaquetar archivos de álbum después de obtener permisos

Análisis de fondos en la cadena

Según el análisis de seguimiento en la cadena, la principal dirección de robo de monedas ha robado fondos de al menos 13,000 usuarios, obteniendo ganancias superiores a 1.82 millones de dólares.

La primera transacción de esta dirección apareció el 12 de febrero de 2025, y la fuente de fondos inicial se puede rastrear hasta una dirección marcada como "robo de clave privada".

Análisis de flujo de capital:

• BSC: ganancias de aproximadamente 37,000 dólares, se utiliza frecuentemente un DEX para cambiar parte de los tokens por BNB
• Ethereum: ganancias de aproximadamente 280,000 dólares, la mayor parte proviene de la transferencia cruzada desde otras cadenas.
• Polygon: ganancias de aproximadamente 37,000 a 65,000 dólares, la mayoría de los tokens ya se han cambiado por POL a través de algún DEX
• Arbitrum: ganancias de aproximadamente 37,000 dólares, el token se intercambió por ETH y se transfirió a Ethereum
• Base：ganancias de aproximadamente 12,000 dólares, el token se intercambia por ETH y se transfiere a Ethereum

Otra dirección de hacker obtuvo aproximadamente 650,000 dólares, involucrando múltiples cadenas, los USDT relacionados se transfirieron a una dirección de TRON. Parte de los fondos se trasladaron a una dirección que había interactuado anteriormente con una plataforma de pagos.

![OKX & SlowMist lanzan conjuntamente｜El malware Bom ha afectado a decenas de miles de usuarios, robando activos por más de 1.82 millones de dólares](