14 лютого 2025 року кілька користувачів повідомили про крадіжку активів з гаманців. Після розслідування виявлено, що випадки крадіжки мали ознаки витоку мнемонічних фраз або приватних ключів. Додатковий аналіз показав, що більшість постраждалих користувачів раніше встановлювали та використовували додаток під назвою BOM. Глибший аналіз вказує на те, що цей додаток є ретельно замаскованим шкідливим програмним забезпеченням. Зловмисники через цей софт спонукають користувачів надавати авторизацію, незаконно отримуючи доступ до мнемонічних фраз/приватних ключів, що призводить до систематичного переміщення активів та їх приховування.
Шкідливі програми аналіз
Деяка команда безпеки зібрала та проаналізувала apk-файли додатків BOM на мобільних телефонах деяких користувачів і зробила такі висновки:
Цей шкідливий додаток, після входу на сторінку контракту, обманює користувачів, вимагаючи дозволу на доступ до локальних файлів та фотографій.
Після отримання дозволу застосунок у фоновому режимі сканує та збирає медіафайли з альбому пристрою, запаковує їх і завантажує на сервер. Якщо у файлах користувача або в альбомі є інформація про мнемонічні фрази, приватні ключі, злочинці можуть скористатися зібраною інформацією для крадіжки активів користувачів.
Аналіз процесу виявив такі підозрілі моменти:
Неправильний підпис програми, subject є випадковим рядком
У файлі AndroidManifest зареєстровано велику кількість чутливих дозволів
Використання кросплатформеного фреймворку uniapp для розробки, основна логіка знаходиться в app-service.js
Ініціалізація звіту про інформацію пристрою запускається під час завантаження сторінки контракту
Обманюючи користувачів, щоб отримати дозвіл на доступ до альбому, посилаючись на необхідність нормальної роботи програми
Отримати права, а потім прочитати та упакувати файли альбому для завантаження
Аналіз коштів на блокчейні
Згідно з аналізом на основі трекінгу в блокчейні, основна адреса крадіжки вже вкрала кошти щонайменше 13 тисяч користувачів, отримавши прибуток понад 1,82 мільйона доларів.
Ця адреса перша транзакція з'явилася 12 лютого 2025 року, початкове фінансування можна відстежити до адреси, позначеної як "викрадення приватного ключа".
Аналіз руху коштів:
BSC: прибуток близько 37 тисяч доларів, часто використовують певний DEX для обміну частини токенів на BNB
Ethereum: прибуток близько 280 тисяч доларів, більшість з яких надійшла з інших блокчейнів
Polygon: отримано прибуток близько 3.7-6.5 тисяч доларів, більшість токенів вже обміняно на POL через певний DEX
Arbitrum: отримано прибуток близько 37 тисяч доларів, токени обміняно на ETH і перенесено на Ethereum
База: отримано прибуток близько 12 000 доларів, токени обміняні на ETH та перенесені на Ethereum
Інша адреса хакера отримала прибуток приблизно 650 тисяч доларів, залучаючи кілька ланцюгів, відповідні USDT були крос-ланцюгові на адресу TRON. Частина коштів була переказана на адресу, яка раніше взаємодіяла з певною платіжною платформою.
 and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 лайків
Нагородити
17
7
Поділіться
Прокоментувати
0/400
Ser_Liquidated
· 07-02 06:12
Торгівля криптовалютою, зверніть увагу на безпеку, обережно з резервними копіями в хмарі.
Переглянути оригіналвідповісти на0
SchrodingersPaper
· 07-02 06:12
Ай, минулого року потрапив у пастку, справді всі кровні гроші зникли...
Переглянути оригіналвідповісти на0
GovernancePretender
· 07-02 06:11
Ще один обдурювач невдах
Переглянути оригіналвідповісти на0
DefiSecurityGuard
· 07-02 06:07
інша налаштування honeypot у підручнику. сканування прав галереї = миттєвий червоний прапор smh. dyor, друзі.
Переглянути оригіналвідповісти на0
NFTRegretter
· 07-02 06:03
Знову тебе обманули, сподіваюся, ти стежиш за своїми овечками.
Зловмисний застосунок BOM краде гаманець користувачів, понад 13 тисяч осіб постраждали, втратили 1,82 мільйона доларів.
Аналіз інцидентів атак шкідливими програмами Bom
14 лютого 2025 року кілька користувачів повідомили про крадіжку активів з гаманців. Після розслідування виявлено, що випадки крадіжки мали ознаки витоку мнемонічних фраз або приватних ключів. Додатковий аналіз показав, що більшість постраждалих користувачів раніше встановлювали та використовували додаток під назвою BOM. Глибший аналіз вказує на те, що цей додаток є ретельно замаскованим шкідливим програмним забезпеченням. Зловмисники через цей софт спонукають користувачів надавати авторизацію, незаконно отримуючи доступ до мнемонічних фраз/приватних ключів, що призводить до систематичного переміщення активів та їх приховування.
Шкідливі програми аналіз
Деяка команда безпеки зібрала та проаналізувала apk-файли додатків BOM на мобільних телефонах деяких користувачів і зробила такі висновки:
Цей шкідливий додаток, після входу на сторінку контракту, обманює користувачів, вимагаючи дозволу на доступ до локальних файлів та фотографій.
Після отримання дозволу застосунок у фоновому режимі сканує та збирає медіафайли з альбому пристрою, запаковує їх і завантажує на сервер. Якщо у файлах користувача або в альбомі є інформація про мнемонічні фрази, приватні ключі, злочинці можуть скористатися зібраною інформацією для крадіжки активів користувачів.
Аналіз процесу виявив такі підозрілі моменти:
Аналіз коштів на блокчейні
Згідно з аналізом на основі трекінгу в блокчейні, основна адреса крадіжки вже вкрала кошти щонайменше 13 тисяч користувачів, отримавши прибуток понад 1,82 мільйона доларів.
Ця адреса перша транзакція з'явилася 12 лютого 2025 року, початкове фінансування можна відстежити до адреси, позначеної як "викрадення приватного ключа".
Аналіз руху коштів:
Інша адреса хакера отримала прибуток приблизно 650 тисяч доларів, залучаючи кілька ланцюгів, відповідні USDT були крос-ланцюгові на адресу TRON. Частина коштів була переказана на адресу, яка раніше взаємодіяла з певною платіжною платформою.
![OKX & SlowMist спільно опублікували|Bom шкідливі програми охопили тисячі користувачів, вкрали активи на понад 182 мільйони доларів](