惡意軟件 Bom 攻擊事件分析

2025 年 2 月 14 日，多名用戶反饋錢包資產被盜。經調查，被盜案例均表現爲助記詞或私鑰泄露特徵。進一步發現，受害用戶大多曾安裝並使用過名爲 BOM 的應用。深入分析表明，該應用實爲精心僞裝的詐騙軟件。不法分子通過該軟件誘導用戶授權，非法獲取助記詞/私鑰權限，進而實施系統性資產轉移並隱匿。

惡意軟件分析

某安全團隊收集並分析了部分用戶手機上的 BOM 應用程序 apk 文件，得出以下結論：

1. 該惡意應用在進入合約頁面後，以運行需要爲由，欺騙用戶授權本地文件及相冊權限。

2. 獲取授權後，應用在後臺掃描並收集設備相冊中的媒體文件，打包上傳至服務端。如用戶文件或相冊中存有助記詞、私鑰相關信息，不法分子可能利用收集到的信息盜取用戶錢包資產。

分析過程發現以下可疑點：

• 應用籤名不規範，subject 爲隨機字符串
• AndroidManifest 文件中註冊了大量敏感權限
• 使用跨平台框架 uniapp 開發，主要邏輯在 app-service.js 中
• 在 contract 頁面加載時觸發設備信息初始化上報
• 以應用正常運行需要爲由，欺騙用戶授權相冊權限
• 獲取權限後讀取並打包上傳相冊文件

鏈上資金分析

據鏈上追蹤分析，主要盜幣地址已盜取至少 1.3 萬名用戶的資金，獲利超 182 萬美元。

該地址首筆交易出現在 2025 年 2 月 12 日，初始資金來源可追溯至被標記爲"盜取私鑰"的地址。

資金流向分析：

• BSC：獲利約 3.7 萬美元，常使用某 DEX 將部分代幣換爲 BNB
• Ethereum：獲利約 28 萬美元，大部分來自其他鏈跨鏈轉入
• Polygon：獲利約 3.7-6.5 萬美元，大部分代幣已通過某 DEX 兌換爲 POL
• Arbitrum：獲利約 3.7 萬美元，代幣兌換爲 ETH 並跨鏈到 Ethereum
• Base：獲利約 1.2 萬美元，代幣兌換爲 ETH 並跨鏈到 Ethereum

另一個黑客地址獲利約 65 萬美元，涉及多條鏈，相關 USDT 均跨鏈到 TRON 地址。部分資金轉移到曾與某支付平台交互過的地址。

![OKX & SlowMist 聯合發布｜Bom 惡意軟件席卷上萬用戶，盜取資產超 182 萬美元](