OKX & SlowMist 聯(lián)合發(fā)布｜Bom 惡意軟件席卷上萬用戶，盜取資產(chǎn)超 182 萬美元

2025 年 2 月 14 日，多名用戶集中反饋錢包資產(chǎn)被盜。經(jīng)鏈上數(shù)據(jù)分析，被盜案例均符合助記詞/私鑰泄漏的特征。進(jìn)一步回訪受害用戶后發(fā)現(xiàn)，他們大多曾安裝并使用過一款名為 BOM 的應(yīng)用。深入調(diào)查表明，該應(yīng)用實(shí)為精心偽裝的詐騙軟件，不法分子通過該軟件誘導(dǎo)用戶授權(quán)后，非法獲取助記詞/私鑰權(quán)限，進(jìn)而實(shí)施系統(tǒng)性資產(chǎn)轉(zhuǎn)移并隱匿。因此，SlowMist AML 團(tuán)隊(duì)和 OKX Web3 安全團(tuán)隊(duì)對該惡意軟件的作案手法進(jìn)行調(diào)查和披露，并進(jìn)行鏈上追蹤分析，希望給更多用戶提供安全警示與建議。

一、惡意軟件分析（OKX）

經(jīng)過用戶同意，OKX Web3 安全團(tuán)隊(duì)收集了部分用戶手機(jī)上的 BOM 應(yīng)用程序的 apk 文件進(jìn)行分析，具體細(xì)節(jié)如下：

（一）結(jié)論

1. 該惡意 app 在進(jìn)入合約頁面后，以應(yīng)用運(yùn)行需要為由，欺騙用戶授權(quán)本地文件以及相冊權(quán)限。
2. 獲取用戶授權(quán)后，該應(yīng)用在后臺掃描并收集設(shè)備相冊中的媒體文件，打包并上傳至服務(wù)端。如果用戶文件或相冊中有存儲助記詞、私鑰相關(guān)信息，不法分子有可能利用該應(yīng)用收集到的相關(guān)信息盜取用戶錢包資產(chǎn)。

（二）分析過程

1、樣本初步分析

1）應(yīng)用簽名分析

簽名 subject 不規(guī)范，解析后為 adminwkhvjv，是一堆沒有意義的隨機(jī)字符，正常應(yīng)用一般為一段有意義的字母組合。

2）惡意權(quán)限分析

在該應(yīng)用的 AndroidManifest 文件中可以看到，注冊了大量權(quán)限。其中包含一些信息敏感的權(quán)限，包括讀寫本地文件、讀取媒體文件、相冊等。

2、動態(tài)分析

由于分析時 app 后端接口服務(wù)已下線，app 無法正常運(yùn)行，暫無法進(jìn)行動態(tài)分析。

3、反編譯分析

反編譯后發(fā)現(xiàn)，該應(yīng)用中 dex 中的類數(shù)量非常少，針對這些類進(jìn)行了代碼層面的靜態(tài)分析。

其主要邏輯為解密一些文件，并加載 application：

在 assets 目錄下發(fā)現(xiàn) uniapp 的產(chǎn)物文件，表明該 app 使用了跨平臺框架 uniapp 進(jìn)行開發(fā)：

在 uniapp 框架下開發(fā)的應(yīng)用的主要邏輯在產(chǎn)物文件 app-service.js 中，部分關(guān)鍵代碼被加密至 app-confusion.js 中，我們主要從 app-service.js 開始分析。

1）觸發(fā)入口

在注冊各個頁面的入口處，找到了名為 contract 頁面的入口

對應(yīng)的函數(shù) index 是 6596

2）設(shè)備信息初始化上報(bào)

contract 頁面加載后的回調(diào) onLoad() 會調(diào)用到 doContract()

在 doContract() 中會調(diào)用 initUploadData()

initUploadData() 中，會先判斷網(wǎng)絡(luò)情況，同時也會判斷圖片和視頻列表是否為空。最后調(diào)用回調(diào) e()

回調(diào) e() 就是 getAllAndIOS()，

3）檢查和請求權(quán)限

這里在 iOS 中會先請求權(quán)限，并以應(yīng)用正常運(yùn)行需要的文案欺騙用戶同意。這里的請求授權(quán)行為就比較可疑了，作為一個區(qū)塊鏈相關(guān)的應(yīng)用程序，它的正常運(yùn)行和相冊的權(quán)限沒有必然的聯(lián)系，這一請求明顯超出應(yīng)用運(yùn)行的正常需求。

在 Android 上，同樣先判斷和申請相冊權(quán)限。

4）收集讀取相冊文件

然后在 androidDoingUp 中讀取圖片和視頻并打包。

5）上傳相冊文件

最后在 uploadBinFa()、uploadZipBinFa() 和 uploadDigui() 中進(jìn)行上傳，可以看到上傳的接口 path 也是一段隨機(jī)的字符。

iOS 流程類似，獲取權(quán)限之后，iOS 上通過 getScreeshotAndShouchang() 開始收集上傳的內(nèi)容。

?

6）上傳接口

上報(bào) url 中的 commonUrl 域名來自 /api/bf9023/c99so 接口的返回。

該接口的 domain 來自 uniapp 的本地緩存。

未找到寫入緩存的代碼，可能被加密混淆后存在于 app-confusion.js 中，在一次歷史運(yùn)行時于應(yīng)用緩存中看到該domain。

?

二、鏈上資金分析（SlowMist）

據(jù) SlowMist AML 旗下的鏈上追蹤和反洗錢工具 MistTrack 分析，目前主要盜幣地址 (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) 已盜取至少 1.3 萬名用戶的資金，獲利超 182 萬美元。

（https://dune.com/queries/4721460）

該地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 首筆交易出現(xiàn)在 2025年2月12日，由地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35 轉(zhuǎn)入 0.001 BNB 作為初始資金：

分析地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35，該地址首筆交易也出現(xiàn)在 2025年2月12日，其初始資金來自被 MistTrack 標(biāo)記為“Theft-盜取私鑰”的地址 0x71552085c854EeF431EE55Da5B024F9d845EC976：

繼續(xù)分析初始黑客地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 的資金流向：

BSC：獲利約 3.7 萬美元，包括 USDC, USDT, WBTC 等幣種，常使用 PancakeSwap 將部分代幣換為 BNB：

目前地址余額 611 BNB 和價值約 12 萬美元的代幣，如 USDT, DOGE, FIL。

Ethereum：獲利約 28 萬美元，大部分來自其他鏈跨鏈轉(zhuǎn)入的 ETH，接著轉(zhuǎn)移 100 ETH 到 0x7438666a4f60c4eedc471fa679a43d8660b856e0，該地址還收到了上述地址 0x71552085c854EeF431EE55Da5B024F9d845EC976 轉(zhuǎn)入的 160 ETH ，共 260 ETH 暫未轉(zhuǎn)出。

Polygon：獲利約 3.7 or 6.5 萬美元，包括 WBTC, SAND, STG 等幣種，大部分代幣已通過 OKX-DEX 兌換為 66,986 POL，目前黑客地址余額如下：

Arbitrum：獲利約 3.7 萬美元，包括 USDC, USDT, WBTC 等幣種，代幣兌換為 ETH，共 14 ETH 通過 OKX-DEX 跨鏈到 Ethereum：

Base：獲利約 1.2 萬美元，包括 FLOCK, USDT, MOLLY 等幣種，代幣兌換為 ETH，共 4.5 ETH 通過 OKX-DEX 跨鏈到 Ethereum：

其余鏈不再贅述。我們還對受害者提供的另一個黑客地址做了簡單分析。

黑客地址 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 首筆交易出現(xiàn)在 2025 年 2 月 13 日，獲利約 65 萬美元，涉及多條鏈，相關(guān) USDT 均跨鏈到 TRON 地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx：

地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx 共收到 703,119.2422 USDT，余額為 288,169.2422 USDT，其中 83,000 USDT 轉(zhuǎn)到地址 TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus 未轉(zhuǎn)出，剩余 331,950 USDT 轉(zhuǎn)到曾與 Huionepay 交互過的地址 THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。

我們將對相關(guān)余額地址保持監(jiān)控。

三、安全建議

為幫助用戶提高防護(hù)意識，SlowMist AML 團(tuán)隊(duì)與 OKX Web3 安全團(tuán)隊(duì)整理了以下安全建議：

1. 切勿下載來源不明的軟件（包括所謂的“薅羊毛工具”，以及任何發(fā)行方不明的軟件）。
2. 切勿聽信朋友、社群中推薦的軟件下載鏈接，認(rèn)準(zhǔn)官方渠道下載。
3. 從正規(guī)渠道下載安裝 App，主要渠道有 Google Play、App Store 以及各大官方應(yīng)用商店。
4. 妥善保存助記詞，切勿使用截圖、拍照、記事本、云盤等保存方式。OKX 錢包移動端已經(jīng)禁止私鑰和助記詞頁面的截圖。
5. 使用物理方式保存助記詞，如抄寫在紙上、保存在硬件錢包、分段存儲（將助記詞/私鑰拆分，存儲在不同的位置）等。
6. 定期更換錢包，有條件定期更換錢包有助于消除潛在安全風(fēng)險。
7. 借助專業(yè)的鏈上追蹤工具，如 MistTrack(https://misttrack.io/)，對資金進(jìn)行監(jiān)控和分析，降低遭遇詐騙或釣魚事件的風(fēng)險，更好地保障資產(chǎn)安全。
8. 強(qiáng)烈推薦閱讀由SlowMist創(chuàng)始人余弦撰寫的《區(qū)塊鏈黑暗森林自救手冊》。

免責(zé)聲明

此內(nèi)容僅供參考，不構(gòu)成也不應(yīng)被視為 (i) 投資建議或推薦，(ii) 購買、出售或持有數(shù)字資產(chǎn)的要約或招攬，或 (iii) 財(cái)務(wù)、會計(jì)、法律或稅務(wù)建議。我們不保證該等信息的準(zhǔn)確性、完整性或有用性。 數(shù)字資產(chǎn)（包括穩(wěn)定幣和 NFT）會受到市場波動的影響，涉及高風(fēng)險，可能會貶值，甚至變得毫無價值。您應(yīng)根據(jù)自己的財(cái)務(wù)狀況和風(fēng)險承受能力，仔細(xì)考慮交易或持有數(shù)字資產(chǎn)是否適合您。 有關(guān)您的具體情況，請咨詢您的法律/稅務(wù)/投資專業(yè)人士。 并非所有產(chǎn)品都在所有地區(qū)提供。 更多詳情，請參閱 OKX 服務(wù)條款和風(fēng)險披露&免責(zé)聲明。OKX Web3 移動錢包及其衍生服務(wù)受單獨(dú)的服務(wù)條款約束。請您自行負(fù)責(zé)了解和遵守當(dāng)?shù)氐挠嘘P(guān)適用法律和法規(guī)。