Анализ инцидента атаки Bom вредоносными программами
14 февраля 2025 года несколько пользователей сообщили о краже активов из кошельков. В ходе расследования выяснилось, что случаи кражи демонстрируют признаки утечки мнемонической фразы или приватного ключа. Дальнейшие исследования показали, что большинство пострадавших пользователей ранее устанавливали и использовали приложение под названием BOM. Углубленный анализ показал, что это приложение на самом деле является тщательно замаскированным мошенническим ПО. Преступники с помощью этого ПО побуждают пользователей предоставлять разрешение, незаконно получают доступ к мнемонической фразе/приватному ключу, что приводит к систематическому перемещению активов и их сокрытию.
Анализ вредоносных программ
Некоторая команда безопасности собрала и проанализировала APK-файлы приложений BOM на мобильных телефонах некоторых пользователей и пришла к следующим выводам:
Это вредоносное приложение обманывает пользователей, запрашивая разрешение на доступ к локальным файлам и фотографиям под предлогом необходимости выполнения на странице контракта.
После получения разрешения приложение в фоновом режиме сканирует и собирает медиафайлы из альбома устройства, упаковывает их и загружает на сервер. Если в пользовательских файлах или альбоме содержится информация о мнемонической фразе или приватных ключах, злоумышленники могут использовать собранную информацию для кражи активов пользователя из кошелька.
В процессе анализа были обнаружены следующие подозрительные моменты:
Ненормальная подпись приложения, subject является случайной строкой
В файле AndroidManifest зарегистрировано множество чувствительных разрешений
Разработка с использованием кроссплатформенного фреймворка uniapp, основная логика находится в app-service.js
Запускать инициализацию отчета о информации об устройстве при загрузке страницы контракта
Обман пользователей для получения разрешения на доступ к альбому под предлогом нормальной работы приложения
Получите доступ, чтобы прочитать и упаковать загруженные файлы из галереи
Анализ средств на блокчейне
Согласно анализу цепочки блоков, основной адрес вора криптовалюты украл средства как минимум 13 000 пользователей, получив прибыль более 1,82 миллиона долларов.
Первая транзакция по этому адресу появилась 12 февраля 2025 года, начальный источник средств можно проследить до адреса, помеченного как "кража частного ключа".
Анализ потоков средств:
BSC: прибыль около 37 тысяч долларов, часто использую некоторый DEX для обмена части токенов на BNB
Ethereum: прибыль около 280000 долларов, большая часть пришла из других цепочек через кросс-цепочку.
Polygon: прибыль около 3.7-6.5 тысяч долларов, большинство токенов уже обменяны на POL через какой-то DEX
Arbitrum: прибыль около 37 000 долларов, токены обменены на ETH и переведены на Ethereum
База: прибыль около 12 тысяч долларов, токены обменены на ETH и перенесены в Ethereum
Еще один адрес хакера получил прибыль около 650 000 долларов, охватывающую несколько цепочек, связанные USDT были переведены на адрес TRON. Часть средств была переведена на адрес, который ранее взаимодействовал с одной из платежных платформ.
 and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Лайков
Награда
17
7
Поделиться
комментарий
0/400
Ser_Liquidated
· 07-02 06:12
Торговля криптовалютой注意安全哈 小心云备份记录
Посмотреть ОригиналОтветить0
SchrodingersPaper
· 07-02 06:12
Ах, в прошлом году попался, действительно все заработанные деньги пропали...
Посмотреть ОригиналОтветить0
GovernancePretender
· 07-02 06:11
又是一个 неудачники разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
DefiSecurityGuard
· 07-02 06:07
еще одна настройка приманки в учебнике. сканирование разрешений галереи = мгновенный красный флаг, смх. делайте свои собственные исследования, ребята.
Посмотреть ОригиналОтветить0
NFTRegretter
· 07-02 06:03
Снова тебя Клиповые купоны, смотри за своей овечкой.
Зловредное приложение BOM крадет кошельки пользователей, более 13 000 человек пострадали, убытки составили 1,82 миллиона долларов США.
Анализ инцидента атаки Bom вредоносными программами
14 февраля 2025 года несколько пользователей сообщили о краже активов из кошельков. В ходе расследования выяснилось, что случаи кражи демонстрируют признаки утечки мнемонической фразы или приватного ключа. Дальнейшие исследования показали, что большинство пострадавших пользователей ранее устанавливали и использовали приложение под названием BOM. Углубленный анализ показал, что это приложение на самом деле является тщательно замаскированным мошенническим ПО. Преступники с помощью этого ПО побуждают пользователей предоставлять разрешение, незаконно получают доступ к мнемонической фразе/приватному ключу, что приводит к систематическому перемещению активов и их сокрытию.
Анализ вредоносных программ
Некоторая команда безопасности собрала и проанализировала APK-файлы приложений BOM на мобильных телефонах некоторых пользователей и пришла к следующим выводам:
Это вредоносное приложение обманывает пользователей, запрашивая разрешение на доступ к локальным файлам и фотографиям под предлогом необходимости выполнения на странице контракта.
После получения разрешения приложение в фоновом режиме сканирует и собирает медиафайлы из альбома устройства, упаковывает их и загружает на сервер. Если в пользовательских файлах или альбоме содержится информация о мнемонической фразе или приватных ключах, злоумышленники могут использовать собранную информацию для кражи активов пользователя из кошелька.
В процессе анализа были обнаружены следующие подозрительные моменты:
Анализ средств на блокчейне
Согласно анализу цепочки блоков, основной адрес вора криптовалюты украл средства как минимум 13 000 пользователей, получив прибыль более 1,82 миллиона долларов.
Первая транзакция по этому адресу появилась 12 февраля 2025 года, начальный источник средств можно проследить до адреса, помеченного как "кража частного ключа".
Анализ потоков средств:
Еще один адрес хакера получил прибыль около 650 000 долларов, охватывающую несколько цепочек, связанные USDT были переведены на адрес TRON. Часть средств была переведена на адрес, который ранее взаимодействовал с одной из платежных платформ.
![OKX & SlowMist совместно выпустили|Bom вредоносные программы охватили десятки тысяч пользователей, украдены активы на сумму более 182 миллионов долларов](