El malware Bom roba a los usuarios más de 1,82 millones de dólares, según SlowMist

Se hadentun plan de robo masivo de criptomonedas luego de que diferentes usuarios informaron acceso no autorizado a los saldos de sus billeteras el 14 de febrero de 2025.

Las empresas de seguridad SlowMist y OKX han publicado un informe que muestra que han descubierto que una aplicación fraudulenta llamada BOM fue responsable de los ataques.

El estudio estableció que BOM tenía como objetivo engañar a los usuarios para que accedieran a su biblioteca de fotos y almacenamiento local. Tras otorgarles permisos, la aplicación escaneaba en secreto capturas de pantalla o fotos con frases mnemotécnicas de billetera o claves privadas. Estas últimas se publicaban en los servidores de los atacantes.

SegúnTrac, el malware ha afectado a no menos de 13.000 usuarios, con un total de fondos robados que supera los 1,82 millones de dólares. Los atacantes transfirieron fondos a diferentes cadenas de bloques como Ethereum, BSC, Polygon, Arbitrum y Base para intentar ocultar sus acciones.

El análisis de malware muestra un esquema de recopilación de datos

El análisis del equipo de seguridad de OKX Web3 reveló que la aplicación se creó con el framework multiplataforma UniApp. Esta arquitectura está diseñada paratracdatos confidenciales. BOM solicita permiso para acceder a la galería de fotos del dispositivo y a los archivos locales durante la instalación. La aplicación afirma engañosamente que se requieren permisos para su correcto funcionamiento.

La descompilación de la aplicación reveló que su propósito principal se centraba en recuperar y cargar información del usuario. Al visitar la página deltracen la aplicación, los usuarios activaban funciones que escaneaban y recopilaban archivos multimedia del almacenamiento del dispositivo. Estos se empaquetaban y subían a un servidor remoto administrado por los atacantes.

El código de la aplicación contenía funciones como "androidDoingUp" y "uploadBinFa", cuyo único propósito era descargar imágenes y vídeos del dispositivo y subirlos a los atacantes. La URL de denuncia utilizaba un dominio obtenido de la caché local de la aplicación; por lo tanto, no era fácil para los usuarios tracel destino de sus datos.

La aplicación fraudulenta también tenía un asunto de firma anómalo con letras aleatorias ("adminwkhvjv") en lugar de las letras significativas que suelen usarse en las aplicaciones auténticas. Este aspecto también determinó que la aplicación era fraudulenta.

El análisis de fondos en cadena traclos flujos de activos robados

El análisis de blockchain del robo muestra flujos de fondos en varias redes. La dirección principal del robo inició su transacción inicial el 12 de febrero de 2025, con la recepción de 0,001 BNB .

En la cadena BSC, los atacantes obtuvieron ganancias por un valor aproximado de $37,000, principalmente en USDC, USDT y WBTC. Los hackers usaban frecuentementecakeSwap para intercambiar diferentes tokens por BNB. Actualmente, esta dirección cuenta con 611 BNB y tokens por un valor aproximado de $120,000, como USDT, DOGE y FIL.

La red Ethereum fue la más afectada por el robo, con pérdidas de aproximadamente $280,000. La mayoría de estos fondos provinieron de transferencias de ETH entre cadenas desde otras redes. Los atacantes depositaron 100 ETH en una dirección de respaldo, a la cual se transfirieron 160 ETH desde otra dirección conectada. En total, 260 ETH se encuentran en esta dirección sin movimiento adicional.

En Polygon, los atacantes obtuvieron tokens por un valor aproximado de $65,000, incluyendo WBTC, SAND y STG. La mayoría de estos fondos se intercambiaron en OKX-DEX por casi 67,000 POL. Se observaron más robos en Arbitrum ($37,000) y Base ($12,000), y la mayoría de los tokens se intercambiaron por ETH y se conectaron a la red Ethereum .