Malware Bom Robs Usuários de mais de US $ 1,82 milhão: SlowMist
Um plano de assalto em massa de criptomoeda tem sidodentpor usuários diferentes que relatam acesso não autorizado aos saldos da carteira em 14 de fevereiro de 2025.
As empresas de segurança SlowMist e OKX divulgaram um relatório mostrando que descobriram que um aplicativo desonesto chamado BOM era responsável pelos ataques.
O estudo estabeleceu que a BOM pretendia enganar os usuários para fornecer acesso à sua biblioteca de fotos e armazenamento local. Após o fornecimento de permissões, o aplicativo escaneou secretamente capturas de tela ou fotos com frases mnemônicas de carteira ou chaves privadas. Estes últimos foram postados nos servidores dos atacantes.
De acordo com o MistTracK, o malware impactou nada menos que 13.000 usuários, com fundos roubados totais no valor de mais de US $ 1,82 milhão. Os atacantes transferiram fundos para diferentes blockchains, como Ethereum, BSC, Polygon, Arbitrum e Base, na tentativa de ocultar suas ações.
A análise de malware mostra o esquema de coleta de dados
A análise da equipe de segurança da OKX Web3 mostrou que o aplicativo foi construído com a estrutura de plataforma cruzada da Uniapp. Esta foi uma arquitetura projetada para dados sensíveis àtrac. Bom pede permissão para acessar a galeria de fotos do dispositivo e os arquivos locais após a instalação. O aplicativo afirma enganosamente que as permissões são necessárias para que o aplicativo funcione normalmente.
A decompilação do aplicativo revelou seu principal objetivo centrado na recuperação e upload de informações do usuário. Quando os usuários visitaram a página ContracT no aplicativo, eles ativaram funções que digitalizaram e coletavam arquivos de mídia a partir do armazenamento do dispositivo. Estes foram embalados e enviados para um servidor remoto distante gerenciado pelos atacantes.
O código no aplicativo tinha funções como "Androiddoingup" e "UploadBinfa", cujo único objetivo era baixar imagens e vídeos do dispositivo e enviá -los para os atacantes. A URL de relatório empregou um domínio obtido do cache local do aplicativo; Portanto, não foi fácil para os usuários traco destino de seus dados.
O aplicativo Scam também tinha um assunto de assinatura anômala com letras aleatórias ("adminwkhvjv") em vez das letras significativas normalmente usadas em aplicativos autênticos. Este aspecto também estabeleceu o aplicativo como fraudulento.
Análise de fundos na cadeia traces roubados de fluxos de ativos
A análise blockchain do roubo mostra que o fundo flui em várias redes. O principal endereço de roubo iniciou sua transação inicial em 12 de fevereiro de 2025, com o recebimento de 0,001 BNB do endereço.
Na cadeia do BSC, os atacantes ganharam cerca de US $ 37.000 em lucros, em grande parte no USDC, USDT e WBTC. Os hackers frequentemente usavam trocacakede pan para trocar tokens diferentes no BNB. A partir de agora, esse endereço possui 611 BNB e cerca de US $ 120.000 em tokens, como USDT, DOGE e FIL.
A rede Ethereum experimentou o maior roubo, perdendo cerca de US $ 280.000. A maioria desses fundos resultou de transferências ETH de cadeia cruzada de outras redes. Os atacantes depositaram 100 ETH em um endereço de backup, ao qual 160 ETH foi transferido de outro endereço conectado. No geral, 260 ETH são mantidos neste endereço sem movimento adicional.
No Polygon, os atacantes colheram cerca de US $ 65.000 em tokens, incluindo WBTC, areia e STG. A maioria desses fundos foi trocada no OKX-DEX por quase 67.000 pol. Roubo adicional foi observado no arbitro (US $ 37.000) e na base (US $ 12.000), com a maioria dos tokens sendo trocados por ETH e preenchidos na rede Ethereum .
Academia Cryptopolitan: em breve - uma nova maneira de obter renda passiva com DeFi em 2025. Saiba mais
Artigos Recomendados
