2025年2月14日,用戶反映錢包資產被盜,經分析發現與一款名為“bom”的惡意軟件有關。該軟件獲取用戶授權後,掃描相冊並上傳敏感信息,導致資產損失超過182萬美元。 OKX與Slowmist的安全團隊對該應用進行了分析,發現它請求不必要的權限並收集用戶數據。調查顯示,多個黑客地址參與資金轉移,獲利巨大。為提高用戶安全意識,建議用戶僅從正規渠道下載軟件,妥善保存助記詞並定期更換錢包。
2025年2月14日,多名用戶集中反饋錢包資產被盜。經鏈上數據分析,被盜案例均符合助記詞/私鑰洩漏的特徵。進一步回訪受害用戶後發現,他們大多曾安裝並使用過一款名為
(OKX)
經過用戶同意,okx web3安全團隊收集了部分用戶手機上的bom應用程序的apk文件進行分析,具體細節如下::
((一)結論
該惡意app在進入合約頁面後,以應用運行需要為由,欺騙用戶授權本地文件以及相冊權限。 ,欺騙用戶授權本地文件以及相冊權限。 獲取用戶授權後,該應用在後台掃描並收集設備相冊中的媒體文件,打包並上傳至服務端。如果用戶文件或相冊中有存儲助記詞、私鑰相關信息,不法分子有可能利用該應用收集到的相關信息盜取用戶錢包資產。 ,不法分子有可能利用該應用收集到的相關信息盜取用戶錢包資產。
((二)分析過程
1 、樣本初步分析
1)應用簽名分析
簽名主題不規範
2)惡意權限分析
在該應用的androidManifest文件中可以看到,註冊了大量權限。其中包含一些信息敏感的權限,包括讀寫本地文件、讀取媒體文件、相冊等。 ,包括讀寫本地文件、讀取媒體文件、相冊等。
2 、動態分析
由於分析時app後端接口服務已下線,app無法正常運行,暫無法進行動態分析。 ,暫無法進行動態分析。
3 、反編譯分析
反編譯後發現,該應用中dex中的類數量非常少,針對這些類進行了代碼層面的靜態分析。 ,針對這些類進行了代碼層面的靜態分析。
其主要邏輯為解密一些文件,並加載,應用程序:
在資產目錄下發現uniapp的產物文件,表明該app使用了跨平台框架uniapp::
在uniapp框架下開發的應用的主要邏輯在產物文件app-service.js中,部分關鍵代碼被加密至app-confusion.js中,我們主要從app-service.js開始分析。
1)觸發入口
在註冊各個頁面的入口處,找到了名為合同
對應的函數索引是6596
2)設備信息初始化上報
合同頁面加載後的回調onload()會調用到docontract()
在docontract()中會調用inituploaddata()
inituploaddata()中,會先判斷網絡情況,同時也會判斷圖片和視頻列表是否為空。最後調用回調e()
回調e()就是getallandios(),,
3)
ios中會先請求權限,並以應用正常運行需要的文案欺騙用戶同意。這裡的請求授權行為就比較可疑了,作為一個區塊鏈相關的應用程序,它的正常運行和相冊的權限沒有必然的聯繫,這一請求明顯超出應用運行的正常需求。 ,這一請求明顯超出應用運行的正常需求。
在android上,同樣先判斷和申請相冊權限。 ,同樣先判斷和申請相冊權限。
4)
然後在androidDoingup中讀取圖片和視頻並打包。
5)
最後在uploadbinfa(),uploadzipbinfa()和uploadDigui()中進行上傳,可以看到上傳的接口路徑也是一段隨機的字符。
ios流程類似,獲取權限之後
6)上傳接口
上報url中的commonurl域名來自/api/bf9023/c99so接口的返回。
該接口的域來自uniapp的本地緩存。
未找到寫入緩存的代碼,可能被加密混淆後存在於app-confusion.js中,在一次歷史運行時於應用緩存中看到該域。
slowmist)
slowmist AML旗下的鏈上追踪和反洗錢工具imptrack分析,目前主要盜幣地址(0x49ADD3E8329F2A2F507238B0A684D03EAE205AAB)已盜取至少1.3,獲利超,獲利超182萬名用戶的資金
(https://dune.com/queries/4721460)
該地址0x49ADD3E8329F2A2F507238B0A684D03EE205AAB首筆交易出現在2025年22月2月12日,由地址0x9AEF1CA082C17F9D52AA9D52A98CA8CA861B501B50C7776DECCCCCCCCC35
分析地址0x9AEF1CA082C17F9D52A98CA861B50C776DECC35,該地址首筆交易也出現在2025年2月2月12日,其初始資金來自被霧track theft-theft-“
繼續分析初始黑客地址0x49ADD3E8329F2A2F507238B0A684D03EE205AAB的資金流向::
BSC:獲利約3.7萬美元,USDC,USDT,WBTC等幣種,pancakeswap將部分代幣換為bnb::
目前地址餘額611BNB和價值約12萬美元的代幣,如USDT,Doge,fil。
以太坊:獲利約28萬美元,大部分來自其他鏈跨鏈轉入的,大部分來自其他鏈跨鏈轉入的,接著轉移100ETH到0x7438666A4F60C4EEDC471FA679A43D8660B856E0,該地址還收到了上述地址0x715520852085C85C85C85C85C85C85C85C85C85C555555DA5DA5DA5DA5B024F924F9D85ENTENTER暫未轉出。
多邊形:獲利約3.7或6.5萬美元,包括wbtc,sand,stg等幣種
仲裁:獲利約3.7萬美元,USDC,USDT,WBTC等幣種,代幣兌換為eth,共14 ETH通過okx-dex跨鏈到以太坊:
基礎:獲利約1.2萬美元,包括羊群,USDT,Molly等幣種,代幣兌換為eth,共4.5 eth通過okx-dex跨鏈到以太坊::
其餘鏈不再贅述。我們還對受害者提供的另一個黑客地址做了簡單分析。
黑客地址0XCB6573E878D1510212E84A85D4F93F93FD5494F6EA0首筆交易出現在2025年22月13日,獲利約65萬美元,獲利約,涉及多條鏈,涉及多條鏈
地址TFW52PZ3GPPUNW847RDEFZJQTTRXTCSDDX共703,119.2422 USDT,餘額為288,169.2422USDT,其中83,000USDT USDT轉到曾與huionepay交互過的地址thkqt6pybrzcxkpfbgspye11kemrnrmdddz。
我們將對相關餘額地址保持監控。
三、安全建議
為幫助用戶提高防護意識,Slowmist AML團隊與OKX Web3安全團隊整理了以下安全建議:
切勿下載來源不明的軟件(包括所謂的“薅羊毛工具”,以及任何發行方不明的軟件)。 切勿聽信朋友、社群中推薦的軟件下載鏈接,認准官方渠道下載。 ,認准官方渠道下載。 從正規渠道下載安裝app,主要渠道有google Play,應用商店以及各大官方應用商店。 妥善保存助記詞,切勿使用截圖、拍照、記事本、雲盤等保存方式。 okx錢包移動端已經禁止私鑰和助記詞頁面的截圖。 使用物理方式保存助記詞,如抄寫在紙上、保存在硬件錢包、分段存儲(將助記詞/私鑰拆分,存儲在不同的位置)等。 定期更換錢包,有條件定期更換錢包有助於消除潛在安全風險。 ,有條件定期更換錢包有助於消除潛在安全風險。 借助專業的鏈上追踪工具,如,misttrack(https://misttrack.io/),對資金進行監控和分析,降低遭遇詐騙或釣魚事件的風險,更好地保障資產安全。 slowmist 創始人餘弦撰寫的《區塊鏈黑暗森林自救手冊》。
資訊來源:由0x資訊編譯自互聯網。版權歸作者所有,未經許可,不得轉載!