Vào ngày 14 tháng 2 năm 2025, nhiều người dùng phản hồi rằng tài sản trong ví của họ bị đánh cắp. Qua điều tra, các trường hợp bị đánh cắp đều có biểu hiện rò rỉ cụm từ khôi phục hoặc khóa riêng. Phát hiện thêm rằng, hầu hết người dùng bị hại đã từng cài đặt và sử dụng một ứng dụng có tên là BOM. Phân tích sâu cho thấy, ứng dụng này thực chất là phần mềm độc hại được ngụy trang tinh vi. Tội phạm đã sử dụng ứng dụng này để dụ dỗ người dùng cấp quyền, thu thập trái phép quyền truy cập cụm từ khôi phục/khóa riêng, từ đó thực hiện chuyển giao tài sản có hệ thống và che giấu.
Phân tích phần mềm độc hại
Một nhóm an ninh đã thu thập và phân tích một số tệp apk của ứng dụng BOM trên điện thoại của người dùng, đưa ra kết luận sau:
Ứng dụng độc hại này sau khi vào trang hợp đồng đã lừa người dùng cấp quyền truy cập vào tệp địa phương và thư viện ảnh với lý do cần chạy.
Sau khi được cấp quyền, ứng dụng sẽ quét và thu thập các tệp phương tiện trong album thiết bị ở chế độ nền, sau đó đóng gói và tải lên máy chủ. Nếu tệp của người dùng hoặc album chứa thông tin liên quan đến cụm từ ghi nhớ, khóa riêng, kẻ xấu có thể lợi dụng thông tin thu thập được để đánh cắp tài sản ví của người dùng.
Phân tích quá trình phát hiện các điểm nghi vấn sau:
Chữ ký ứng dụng không chuẩn, subject là chuỗi ngẫu nhiên
Tập tin AndroidManifest đã đăng ký nhiều quyền nhạy cảm
Sử dụng framework đa nền tảng uniapp để phát triển, logic chính nằm trong app-service.js
Khi tải trang hợp đồng, kích hoạt báo cáo khởi tạo thông tin thiết bị.
Lừa người dùng cấp quyền truy cập album với lý do cần thiết để ứng dụng hoạt động bình thường
Lấy quyền truy cập sau đó đọc và đóng gói tệp album để tải lên
Phân tích tài chính trên chuỗi
Theo phân tích theo dõi trên chuỗi, địa chỉ đánh cắp chính đã lấy cắp ít nhất 13.000 tài sản của người dùng, thu lợi hơn 1,82 triệu đô la.
Địa chỉ này có giao dịch đầu tiên vào ngày 12 tháng 2 năm 2025, nguồn vốn ban đầu có thể truy vết đến địa chỉ được đánh dấu là "đánh cắp khóa riêng".
Phân tích dòng tiền:
BSC:Lợi nhuận khoảng 37,000 USD, thường sử dụng một DEX nào đó để đổi một phần token sang BNB
Ethereum: Lợi nhuận khoảng 280.000 USD, chủ yếu đến từ việc chuyển giao qua lại giữa các chuỗi khác.
Polygon: Lợi nhuận khoảng 3.7-6.5 nghìn đô la, hầu hết các token đã được trao đổi thành POL thông qua một DEX nào đó.
Arbitrum:Lợi nhuận khoảng 37.000 USD, đổi token sang ETH và chuyển chuỗi sang Ethereum
Cơ sở: Lợi nhuận khoảng 12.000 USD, mã thông báo được đổi sang ETH và chuyển chéo sang Ethereum
Một địa chỉ hacker khác đã kiếm được khoảng 650.000 USD, liên quan đến nhiều chuỗi, USDT liên quan đều được chuyển qua chuỗi đến địa chỉ TRON. Một phần của số tiền đã được chuyển đến một địa chỉ từng tương tác với một nền tảng thanh toán nào đó.
 and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 thích
Phần thưởng
15
7
Chia sẻ
Bình luận
0/400
Ser_Liquidated
· 07-02 06:12
Giao dịch tiền điện tử cần chú ý an toàn nhé, cẩn thận với việc sao lưu đám mây.
Xem bản gốcTrả lời0
SchrodingersPaper
· 07-02 06:12
Ôi, năm ngoái tôi đã bị lừa, thật sự tiền mồ hôi nước mắt của tôi đã mất hết...
Xem bản gốcTrả lời0
GovernancePretender
· 07-02 06:11
又 là một đồ ngốc chơi đùa với mọi người
Xem bản gốcTrả lời0
DefiSecurityGuard
· 07-02 06:07
một thiết lập hũ mật ong sách giáo khoa khác. quét quyền truy cập gallery = cờ đỏ ngay lập tức smh. hãy tự nghiên cứu, mọi người.
Xem bản gốcTrả lời0
NFTRegretter
· 07-02 06:03
Lại bị người ta Phiếu giảm giá rồi chứ? Hãy bảo vệ cừu của bạn.
Xem bản gốcTrả lời0
StablecoinArbitrageur
· 07-02 06:01
hmm... theo thống kê, 96.7% các vụ hack ví = lỗi của người dùng *điều chỉnh kính*
Ứng dụng độc hại BOM đánh cắp ví tiền của người dùng, hơn 13.000 người bị thiệt hại 1.82 triệu đô la.
Phân tích sự kiện tấn công Bom phần mềm độc hại
Vào ngày 14 tháng 2 năm 2025, nhiều người dùng phản hồi rằng tài sản trong ví của họ bị đánh cắp. Qua điều tra, các trường hợp bị đánh cắp đều có biểu hiện rò rỉ cụm từ khôi phục hoặc khóa riêng. Phát hiện thêm rằng, hầu hết người dùng bị hại đã từng cài đặt và sử dụng một ứng dụng có tên là BOM. Phân tích sâu cho thấy, ứng dụng này thực chất là phần mềm độc hại được ngụy trang tinh vi. Tội phạm đã sử dụng ứng dụng này để dụ dỗ người dùng cấp quyền, thu thập trái phép quyền truy cập cụm từ khôi phục/khóa riêng, từ đó thực hiện chuyển giao tài sản có hệ thống và che giấu.
Phân tích phần mềm độc hại
Một nhóm an ninh đã thu thập và phân tích một số tệp apk của ứng dụng BOM trên điện thoại của người dùng, đưa ra kết luận sau:
Ứng dụng độc hại này sau khi vào trang hợp đồng đã lừa người dùng cấp quyền truy cập vào tệp địa phương và thư viện ảnh với lý do cần chạy.
Sau khi được cấp quyền, ứng dụng sẽ quét và thu thập các tệp phương tiện trong album thiết bị ở chế độ nền, sau đó đóng gói và tải lên máy chủ. Nếu tệp của người dùng hoặc album chứa thông tin liên quan đến cụm từ ghi nhớ, khóa riêng, kẻ xấu có thể lợi dụng thông tin thu thập được để đánh cắp tài sản ví của người dùng.
Phân tích quá trình phát hiện các điểm nghi vấn sau:
Phân tích tài chính trên chuỗi
Theo phân tích theo dõi trên chuỗi, địa chỉ đánh cắp chính đã lấy cắp ít nhất 13.000 tài sản của người dùng, thu lợi hơn 1,82 triệu đô la.
Địa chỉ này có giao dịch đầu tiên vào ngày 12 tháng 2 năm 2025, nguồn vốn ban đầu có thể truy vết đến địa chỉ được đánh dấu là "đánh cắp khóa riêng".
Phân tích dòng tiền:
Một địa chỉ hacker khác đã kiếm được khoảng 650.000 USD, liên quan đến nhiều chuỗi, USDT liên quan đều được chuyển qua chuỗi đến địa chỉ TRON. Một phần của số tiền đã được chuyển đến một địa chỉ từng tương tác với một nền tảng thanh toán nào đó.
![OKX & SlowMist hợp tác công bố|Bom phần mềm độc hại cuốn trôi hàng ngàn người dùng, đánh cắp tài sản trên 182 triệu đô la](