Análise de Incidentes de Ataque Bom de malware

No dia 14 de fevereiro de 2025, vários usuários relataram que seus ativos na carteira foram roubados. Após investigação, os casos de roubo apresentaram características de vazamento de frases de recuperação ou chaves privadas. Descobriu-se que a maioria dos usuários afetados havia instalado e usado um aplicativo chamado BOM. Análises mais profundas indicaram que este aplicativo era, na verdade, um software de fraude cuidadosamente disfarçado. Os criminosos induziram os usuários a autorizar o acesso, obtendo ilegalmente permissões de frases de recuperação/chaves privadas, e, assim, implementaram uma transferência sistemática de ativos e se ocultaram.

Análise de malware

Uma equipe de segurança coletou e analisou arquivos apk do aplicativo BOM em alguns telefones de usuários e chegou às seguintes conclusões:

1. Este aplicativo malicioso engana os usuários para autorizar o acesso a arquivos locais e à galeria, alegando que é necessário para executar a página do contrato.

2. Após obter autorização, a aplicação escaneia e coleta arquivos de mídia na galeria do dispositivo em segundo plano, empacotando e carregando-os para o servidor. Se os arquivos do usuário ou a galeria contiverem informações relacionadas a frases de recuperação ou chaves privadas, indivíduos mal-intencionados podem usar as informações coletadas para roubar os ativos da carteira do usuário.

O processo de análise revelou os seguintes pontos suspeitos:

• Assinatura da aplicação não é padrão, subject é uma string aleatória
• O arquivo AndroidManifest registou uma grande quantidade de permissões sensíveis
• Desenvolvido com o framework multiplataforma uniapp, a lógica principal está no app-service.js
• Acionar a inicialização do relatório de informações do dispositivo ao carregar a página de contrato
• Enganar os usuários para autorizar permissões de álbum sob o pretexto de que é necessário para o funcionamento normal da aplicação.
• Ler e empacotar arquivos da galeria após obter permissões

Análise de fundos em cadeia

De acordo com a análise de rastreamento na blockchain, o principal endereço de roubo de criptomoedas já roubou fundos de pelo menos 13 mil usuários, lucrando mais de 1,82 milhão de dólares.

A primeira transação desse endereço apareceu em 12 de fevereiro de 2025, e a fonte inicial de fundos pode ser rastreada até um endereço marcado como "roubo de chave privada".

Análise do fluxo de fundos:

• BSC: lucro de cerca de 37 mil dólares, frequentemente usa um certo DEX para trocar parte dos tokens por BNB
• Ethereum: lucro de cerca de 280 mil dólares, a maior parte proveniente de transferências cross-chain de outras cadeias.
• Polygon: lucro de cerca de 3,7-6,5 mil dólares, a maioria dos tokens já foram trocados por POL através de algum DEX
• Arbitrum: lucros de cerca de 37 mil dólares, tokens trocados por ETH e transferidos para a Ethereum
• Base：ganhos de cerca de 12 mil dólares, troca de tokens por ETH e transferência cruzada para Ethereum

Outro endereço de hacker lucrou cerca de 650 mil dólares, envolvendo várias cadeias, e os USDT relacionados foram transferidos para um endereço TRON. Parte dos fundos foi transferida para um endereço que já interagiu com uma determinada plataforma de pagamento.

![OKX & SlowMist联合发布｜Bom malware席卷上万用户，盗取资产超 182万 dólares](