Bom-Malware raubt Nutzern über 1,82 Millionen Dollar: SlowMist

Ein Plan für einen groß angelegten Kryptowährungsraub wurdedent, nachdem verschiedene Nutzer am 14. Februar 2025 unbefugten Zugriff auf ihre Wallet-Guthaben gemeldet hatten.

Die Sicherheitsfirmen SlowMist und OKX haben einen gemeinsamen Bericht , aus dem hervorgeht, dass eine bösartige App namens BOM für die Angriffe verantwortlich war.

Die Studie ergab, dass BOM darauf abzielte, Nutzer durch Täuschung dazu zu bringen, Zugriff auf ihre Fotobibliothek und ihren lokalen Speicher zu gewähren. Nach Erteilung der Berechtigungen suchte die Anwendung heimlich nach Screenshots oder Fotos mit Wallet-Mnemonikphrasen oder privaten Schlüsseln. Letztere wurden an die Server der Angreifer übermittelt.

LautTrachat die Schadsoftware mindestens 13.000 Nutzer betroffen, wobei insgesamt über 1,82 Millionen US-Dollar gestohlen wurden. Die Angreifer transferierten die Gelder auf verschiedene Blockchains wie Ethereum, BSC, Polygon, Arbitrum und Base, um ihre Taten zu verschleiern.

Malware-Analyse zeigt Datenerfassungsschema

Die Analyse des OKX Web3-Sicherheitsteams ergab, dass die App mit dem plattformübergreifenden UniApp-Framework entwickelt wurde. Diese Architektur ist darauf ausgelegt, sensible Daten zutrac. BOM fordert bei der Installation Zugriff auf die Fotogalerie und lokale Dateien des Geräts an. Die App gibt fälschlicherweise an, dass diese Berechtigungen für die normale Funktion erforderlich sind.

Die Dekompilierung der App offenbarte ihren Hauptzweck: das Abrufen und Hochladen von Nutzerinformationen. Beim Aufruf dertracaktivierten die Nutzer Funktionen, die den Gerätespeicher scannten und Mediendateien sammelten. Diese wurden verpackt und auf einen entfernten, von den Angreifern kontrollierten Server hochgeladen.

Der Code der Anwendung enthielt Funktionen wie „androidDoingUp“ und „uploadBinFa“, deren einziger Zweck darin bestand, Bilder und Videos vom Gerät herunterzuladen und an die Angreifer hochzuladen. Die Melde-URL verwendete eine Domain, die aus dem lokalen Cache der App stammte; daher war es für die Nutzer schwierig, den Verbleib ihrer Daten trac.

Die betrügerische App wies zudem eine ungewöhnliche Signatur mit zufälligen Buchstaben („adminwkhvjv“) anstelle der üblicherweise in seriösen Apps verwendeten aussagekräftigen Buchstaben auf. Auch dieser Aspekt bestätigte, dass es sich um eine betrügerische App handelte.

Die On-Chain-Finanzanalyse tracgestohlene Vermögensflüsse

Die Blockchain-Analyse des Diebstahls zeigt Geldflüsse in mehreren Netzwerken. Die Hauptadresse des Diebstahls initiierte ihre erste Transaktion am 12. Februar 2025 mit dem Empfang von 0,001 BNB .

Auf der BSC-Chain erzielten die Angreifer Gewinne in Höhe von rund 37.000 US-Dollar, hauptsächlich in USDC, USDT und WBTC. Die Hacker nutzten häufigcakeSwap, um verschiedene Token in BNBzu tauschen. Aktuell befinden sich auf dieser Adresse 611 BNB und Token im Wert von rund 120.000 US-Dollar, darunter USDT, DOGE und FIL.

Das Ethereum Netzwerk war am stärksten von Diebstählen betroffen und verlor rund 280.000 US-Dollar. Der Großteil dieser Gelder stammte aus netzwerkübergreifenden ETH-Transfers. Die Angreifer zahlten 100 ETH auf eine Backup-Adresse ein, auf die 160 ETH von einer anderen verbundenen Adresse überwiesen wurden. Insgesamt befinden sich nun 260 ETH auf dieser Adresse, ohne dass weitere Transaktionen stattgefunden haben.

Auf Polygon erbeuteten Angreifer Token im Wert von rund 65.000 US-Dollar, darunter WBTC, SAND und STG. Der Großteil dieser Gelder wurde auf OKX-DEX gegen fast 67.000 POL getauscht. Weitere Diebstähle wurden auf Arbitrum (37.000 US-Dollar) und Base (12.000 US-Dollar) beobachtet, wobei die Token größtenteils gegen ETH getauscht und in das Ethereum Netzwerk transferiert wurden.