マルウェア Bom 攻撃事件分析

2025年2月14日、複数のユーザーがウォレットの資産が盗まれたと報告しました。調査の結果、盗難の事例はすべて助記詞または秘密鍵の漏洩の特徴を示していました。さらに調査を進めたところ、被害に遭ったユーザーのほとんどがBOMという名前のアプリをインストールして使用していたことが判明しました。詳細な分析により、このアプリは巧妙に偽装された詐欺ソフトウェアであることが示されました。不正行為者はこのソフトウェアを通じてユーザーに権限を付与させ、助記詞/秘密鍵の権限を不正に取得し、次にシステム的な資産移転と隠蔽を実行しました。

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれました

マルウェア分析

あるセキュリティチームが一部のユーザーの携帯電話にあるBOMアプリケーションのapkファイルを収集し分析した結果、以下の結論を得ました：

1. このマルウェアアプリは、契約ページに入ると、実行する必要があるという理由で、ユーザーにローカルファイルおよびアルバムの権限を付与させるように欺きます。

2. 認証を取得後、アプリケーションはバックグラウンドでデバイスのアルバム内のメディアファイルをスキャンし、収集してサーバーにアップロードします。ユーザーのファイルまたはアルバムにリカバリーフレーズや秘密鍵に関連する情報が含まれている場合、不正な者が収集された情報を利用してユーザーのウォレット資産を盗む可能性があります。

分析プロセスで以下の疑わしい点が見つかりました：

• アプリケーションの署名が不正で、subject はランダムな文字列です
• AndroidManifest ファイルに多数のセンシティブな権限が登録されています
• クロスプラットフォームフレームワーク uniapp を使用して開発し、主なロジックは app-service.js にあります
• contract ページの読み込み時にデバイス情報の初期化報告をトリガーする
• アプリケーションが正常に動作する必要があるという理由で、ユーザーにアルバム権限を許可させる詐欺
• 権限を取得した後、アルバムファイルを読み込み、パッケージ化してアップロードします

! OKX & SlowMist Joint Release|Bom Malware Swept Millions of Users Exhaust, Stolened Over $1.82 Million in Assets

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗まれた

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを一掃し、182万ドル以上の資産を盗んだ

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist共同リリース|Bomマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

オンチェーン資金分析

オンチェーン追跡分析によると、主要な盗難アドレスは少なくとも1.3万人のユーザーの資金を盗み、182万ドル以上の利益を上げています。

このアドレスの最初の取引は2025年2月12日に表示され、初期資金の出所は「秘密鍵を盗む」としてマークされたアドレスにさかのぼります。

資金フロー分析:

• BSC：約 3.7 万ドルの利益、ある DEX を使用して一部のトークンを BNB に交換することがよくあります
• イーサリアム：利益約 28 万ドル、大部分は他のチェーンからのクロスチェーン転送による
• ポリゴン：約3.7万から6.5万ドルの利益を得ており、大部分のトークンはあるDEXでPOLに交換されています。
• Arbitrum：約 3.7 万ドルの利益を得て、トークンを ETH に交換し、Ethereum にクロスチェーンしました。
• ベース：約 1.2 万ドルの利益を得て、トークンを ETH に交換し、Ethereum にクロスチェーンします

別のハッカーアドレスが約65万ドルの利益を上げ、多くのチェーンに関与し、関連するUSDTはすべてTRONアドレスにクロスチェーンされました。一部の資金は、以前にある決済プラットフォームとやり取りしたことがあるアドレスに移転されました。

! OKXとSlowMistが共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist 共同リリース|Bom Malware Swept Millions of Users, Stolened Over $1.82 Million in Assets

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKX & SlowMist Joint Release|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを一掃し、182万ドル以上の資産を盗んだ

! OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKX & SlowMist 共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産が盗まれた

! OKX & SlowMist 共同リリース|BOM Malware Swept of Millions of Users, Stolened Over $1.82 Million in Assets

! OKXとSlowMistの共同リリース|Bomマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ

! OKXとSlowMistの共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗まれた

! [OKX & SlowMist共同リリース|BOMマルウェアが数万人のユーザーを席巻し、182万ドル以上の資産を盗んだ] (