2025 年2 月14 日,多名用戶集中回饋錢包資產被竊。經鏈上資料分析,被竊案例均符合助記詞/私鑰洩漏的特徵。進一步回訪受害用戶後發現,他們大多曾安裝並使用過一款名為BOM 的應用程式。深入調查表明,該應用實為精心偽裝的詐騙軟體,不法分子透過該軟體誘導用戶授權後,非法獲取助記詞/私鑰權限,進而實施系統性資產轉移並隱匿。因此,SlowMist AML 團隊和OKX Web3 安全團隊對此惡意軟體的作案手法進行調查和揭露,並進行鏈上追蹤分析,希望給更多使用者提供安全警示與建議。
一、惡意軟體分析(OKX)
經過用戶同意,OKX Web3 安全團隊收集了部分用戶手機上的BOM 應用程式的apk 檔案進行分析,具體細節如下:
(一)結論
- 該惡意app 在進入合約頁面後,以應用程式運行需要為由,欺騙使用者授權本機檔案以及相簿權限。
- 取得使用者授權後,該應用程式在背景掃描並收集裝置相簿中的媒體文件,打包並上傳至服務端。如果用戶文件或相簿中有儲存助記詞、私鑰相關資訊,不法分子有可能利用該應用程式收集到的相關資訊盜取用戶錢包資產。
(二)分析過程
1.樣本初步分析
1)應用簽名分析
簽名subject 不規範,解析後為adminwkhvjv,是一堆沒有意義的隨機字符,正常應用一般為一段有意義的字母組合。
2)惡意權限分析
在該應用程式的AndroidManifest 檔案中可以看到,註冊了大量權限。其中包含一些資訊敏感的權限,包括讀寫本機檔案、讀取媒體檔案、相簿等。
2、動態分析
由於分析時app 後端介面服務已下線,app 無法正常運行,暫無法進行動態分析。
3.反編譯分析
反編譯後發現,該應用程式中dex 中的類別數量非常少,針對這些類別進行了程式碼層面的靜態分析。
其主要邏輯為解密一些文件,並載入application:
在assets 目錄下發現uniapp 的產物文件,顯示該app 使用了跨平台框架uniapp 進行開發:
在uniapp 框架下開發的應用程式的主要邏輯在產物檔案app-service.js 中,部分關鍵程式碼被加密至app-confusion.js 中,我們主要從app-service.js 開始分析。
1)觸發入口
在註冊各個頁面的入口處,找到了名為contract 頁面的入口
對應的函數index 是6596
2)設備資訊初始化上報
contract 頁面載入後的回呼onLoad() 會呼叫到doContract()
在doContract() 中會呼叫initUploadData()
initUploadData() 中,會先判斷網路狀況,同時也會判斷圖片和影片清單是否為空。最後呼叫回調e()
回呼e() 就是getAllAndIOS(),
3)檢查和請求權限
這裡在iOS 會先請求權限,並以應用程式正常運作需要的文案欺騙用戶同意。這裡的請求授權行為就比較可疑了,作為一個區塊鏈相關的應用程序,它的正常運行和相冊的權限沒有必然的聯繫,這一請求明顯超出應用運行的正常需求。
在Android 上,同樣先判斷和申請相簿權限。
4)收集讀取相簿文件
然後在androidDoingUp 中讀取圖片和影片並打包。
5)上傳相簿文件
最後在uploadBinFa()、uploadZipBinFa() 和uploadDigui() 中進行上傳,可以看到上傳的介面path 也是一段隨機的字元。
iOS 流程類似,取得權限之後,iOS 上透過getScreeshotAndShouchang() 開始收集上傳的內容。
6)上傳介面
上報url 中的commonUrl 網域來自/api/bf9023/c99so 介面的回傳。
該介面的domain 來自uniapp 的本機快取。
未找到寫入快取的程式碼,可能被加密混淆後存在於app-confusion.js 中,在一次歷史運行時於應用程式快取中看到該domain。
二、鏈上資金分析(SlowMist)
根據SlowMist AML 旗下的鏈上追蹤與反洗錢工具MistTrack 分析,目前主要盜幣地址(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) 已盜取至少1.3 萬名用戶的資金,獲利超182 萬美元。
(https://dune.com/queries/4721460)
該地址0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 首筆交易出現在2025年2月12日,由地址0x9AEf1CA082c17f9D52Aa98ca
分析地址0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35,該地址首筆交易也出現在2025年2月12日,其初始資金來自被MistTrack 標記為“Theft-盜取私鑰”的地址0x71552085c854EeF431EE55Da5B024F9d845EC976:
繼續分析初始駭客地址0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 的資金流向:
BSC:獲利約3.7 萬美元,包括USDC, USDT, WBTC 等幣種,常使用PancakeSwap 將部分代幣換成BNB:
目前地址餘額611 BNB 和價值約12 萬美元的代幣,如USDT, DOGE, FIL。
Ethereum:獲利約28 萬美元,大部分來自其他鏈跨鏈轉入的ETH,接著轉移100 ETH 到0x7438666a4f60c4eedc471fa679a43d8660b856e0,該地址還收到了上述地址0x715520856入的160 ETH ,共260 ETH 暫未轉出。
Polygon:獲利約3.7 or 6.5 萬美元,包括WBTC, SAND, STG 等幣種,大部分代幣已透過OKX-DEX 兌換為66,986 POL,目前駭客地址餘額如下:
Arbitrum:獲利約3.7 萬美元,包括USDC, USDT, WBTC 等幣種,代幣兌換為ETH,共14 ETH 透過OKX-DEX 跨鏈到Ethereum:
Base:獲利約1.2 萬美元,包括FLOCK, USDT, MOLLY 等幣種,代幣兌換為ETH,共4.5 ETH 透過OKX-DEX 跨鏈到Ethereum:
其餘鏈不再贅述。我們也對受害者提供的另一個黑客地址做了簡單分析。
駭客位址0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 首筆交易出現在2025 年2 月13 日,獲利約65 萬美元,涉及多條鏈,相關USDT 皆跨鏈至TRONRON 位址
地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx 共收到703,119.2422 USDT,餘額為288,169.2422 USDT,其中83,000 USDT 轉到地址TZJiMbiqBBxDXhZXbrtyTYZ2003 到剩餘。過的地址THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。
我們將對相關餘額地址保持監控。
三、安全建議
為協助使用者提升防護意識,SlowMist AML 團隊與OKX Web3 安全團隊整理了以下安全建議:
- 切勿下載來源不明的軟體(包括所謂的“薅羊毛工具”,以及任何發行方不明的軟體)。
- 切勿聽信朋友、社群中推薦的軟體下載鏈接,認準官方管道下載。
- 從正規管道下載安裝App,主要管道有Google Play、App Store 以及各大官方應用程式商店。
- 妥善保存助記詞,切勿使用截圖、拍照、記事本、雲盤等保存方式。 OKX 錢包行動裝置已經禁止私鑰和助記詞頁面的截圖。
- 使用實體方式保存助記詞,如抄寫在紙上、保存在硬體錢包、分段儲存(將助記詞/私鑰拆分,存放在不同的位置)等。
- 定期更換錢包,有條件定期更換錢包有助於消除潛在安全風險。
- 透過專業的鏈上追蹤工具,如MistTrack(https://misttrack.io/),對資金進行監控與分析,降低遭遇詐騙或釣魚事件的風險,更能保障資產安全。
- 強烈建議閱讀由SlowMist創始人餘弦撰寫的《區塊鏈黑暗森林自救手冊》 。
