Analisis Insiden Serangan Bom Malware

Pada 14 Februari 2025, sejumlah pengguna melaporkan bahwa aset dompet mereka dicuri. Setelah diselidiki, kasus pencurian tersebut menunjukkan ciri-ciri kebocoran frase sandi atau kunci pribadi. Penemuan lebih lanjut menunjukkan bahwa sebagian besar pengguna yang menjadi korban pernah menginstal dan menggunakan aplikasi bernama BOM. Analisis mendalam menunjukkan bahwa aplikasi tersebut sebenarnya adalah perangkat lunak penipuan yang disamarkan dengan cermat. Para pelaku kejahatan menggunakan perangkat lunak ini untuk membujuk pengguna agar memberikan izin, secara ilegal memperoleh akses ke frase sandi/kunci pribadi, dan kemudian melakukan pemindahan aset secara sistematis dan menyembunyikannya.

analisis malware

Sebuah tim keamanan mengumpulkan dan menganalisis file apk aplikasi BOM di beberapa ponsel pengguna, dan得出以下结论：

1. Aplikasi jahat ini setelah memasuki halaman kontrak, menipu pengguna untuk memberikan izin akses ke file lokal dan galeri dengan alasan perlu dijalankan.

2. Setelah mendapatkan izin, aplikasi akan memindai dan mengumpulkan file media dari galeri perangkat di latar belakang, kemudian mengemas dan mengunggahnya ke server. Jika file pengguna atau galeri berisi informasi terkait frase pemulihan atau kunci privat, pihak yang tidak bertanggung jawab dapat memanfaatkan informasi yang dikumpulkan untuk mencuri aset dompet pengguna.

Proses analisis menemukan poin-poin mencurigakan berikut:

• Tanda tangan aplikasi tidak standar, subject adalah string acak
• Banyak izin sensitif terdaftar di file AndroidManifest
• Mengembangkan menggunakan kerangka lintas platform uniapp, logika utama ada di app-service.js
• Memicu pelaporan inisialisasi informasi perangkat saat halaman kontrak dimuat
• Menipu pengguna untuk memberikan izin akses galeri dengan alasan aplikasi membutuhkan fungsi yang normal.
• Setelah mendapatkan izin, baca dan kemas file album untuk diunggah

Analisis Dana Di Dalam Jaringan

Menurut analisis pelacakan di blockchain, alamat pencuri utama telah mencuri dana setidaknya 13.000 pengguna, dengan keuntungan lebih dari 1,82 juta dolar.

Transaksi pertama dari alamat ini muncul pada 12 Februari 2025, sumber dana awal dapat ditelusuri kembali ke alamat yang ditandai sebagai "pencurian kunci pribadi".

Analisis Aliran Dana:

• BSC: Mendapatkan keuntungan sekitar 37 ribu dolar AS, sering menggunakan DEX tertentu untuk menukar sebagian token menjadi BNB
• Ethereum: Menghasilkan sekitar 280.000 dolar AS, sebagian besar berasal dari transfer lintas rantai dari rantai lain.
• Polygon: Menghasilkan sekitar 3.7-6.5 ribu dolar AS, sebagian besar token telah ditukarkan menjadi POL melalui DEX tertentu.
• Arbitrum: Mendapatkan keuntungan sekitar 37.000 USD, token ditukarkan menjadi ETH dan lintas rantai ke Ethereum
• Basis: Mendapatkan keuntungan sekitar 12.000 dolar AS, token ditukar menjadi ETH dan lintas rantai ke Ethereum

Alamat hacker lainnya menghasilkan sekitar 650.000 dolar, melibatkan beberapa blockchain, USDT terkait semuanya dipindahkan ke alamat TRON. Sebagian dana dipindahkan ke alamat yang sebelumnya berinteraksi dengan platform pembayaran tertentu.

![OKX & SlowMist Bersama-sama Mengumumkan｜Bom malware menyapu ribuan pengguna, mencuri aset lebih dari 182 juta dolar](