Un plan de braquage de crypto-monnaie de masse a été mis audentà la suite de différents utilisateurs signalant un accès non autorisé à leurs soldes de portefeuille le 14 février 2025.
Les sociétés de sécurité Slowmist et OKX ont publié un rapport montrant qu'ils ont constaté qu'une application voyou appelée Bom était responsable des attaques.
L'étude a établi que BOM était destiné à tromper les utilisateurs pour donner accès à leur photo-bibliothèque et à leur stockage local. Lors de la fourniture d'autorisations, l'application a secrètement scanné des captures d'écran ou des photos avec des phrases mnémoniques de portefeuille ou des clés privées. Ces derniers ont été affichés sur les serveurs des attaquants.
Conformément à MistTracK, le malware a eu un impact sur 13 000 utilisateurs, avec des fonds volés totaux s'élevant à plus de 1,82 million de dollars. Les attaquants ont transféré des fonds sur différentes blockchains tels que Ethereum, BSc, Polygon, Arbitrum et Base pour tenter de cacher leurs actions.
L'analyse des logiciels malveillants montre le schéma de collecte de données
L'analyse de l'équipe de sécurité OKX Web3 a montré que l'application a été construite avec le cadre multiplateforme UNIAPP. Il s'agissait d'une architecture conçue pour les données sensibles extrac. Bom demande la permission d'accéder à la galerie de photos de l'appareil et aux fichiers locaux lors de l'installation. L'application indique à tort que les autorisations sont nécessaires pour que l'application fonctionne normalement.
La décompilation de l'application a révélé son objectif principal centré sur la récupération et le téléchargement des informations utilisateur. Lorsque les utilisateurs ont visité la page ContracT sur l'application, ils ont activé des fonctions qui ont numérisé et rassemblé des fichiers multimédias à partir du stockage de l'appareil. Ceux-ci ont été emballés et téléchargés sur un serveur distant distant géré par les attaquants.
Le code de l'application avait des fonctions telles que «AndroidDoingUp» et «uploadbinfa», dont le seul but était de télécharger des images et des vidéos de l'appareil et de les télécharger aux attaquants. L'URL de rapport a utilisé un domaine obtenu à partir du cache local de l'application; Par conséquent, il n'a pas été facile pour les utilisateurs de tracla destination de leurs données.
L'application Scam avait également un sujet de signature anormal avec des lettres aléatoires («adminwkhvjv») au lieu des lettres significatives normalement utilisées dans des applications authentiques. Cet aspect a également établi l'application comme frauduleuse.
Analyse des fonds en chaîne TRACES tracVOLAGES D'ACTIFS VOTÉ
L'analyse de la blockchain du vol montre les flux de fonds sur plusieurs réseaux. L'adresse de vol principale a lancé sa transaction initiale le 12 février 2025, avec la réception de 0,001 BNB à partir de l'adresse.
Sur la chaîne BSC, les attaquants ont réalisé environ 37 000 $ de bénéfices, en grande partie dans l'USDC, l'USDT et le WBTC. Les pirates ont fréquemment utilisé un échangecakePan pour échanger différents jetons en BNB. À l'heure actuelle, cette adresse a 611 BNB et environ 120 000 $ de jetons, comme USDT, DOGE et FIL.
Le réseau Ethereum a connu le plus de vols, perdant environ 280 000 $. La majorité de ces fonds résultent de transferts d'ETH transversaux à partir d'autres réseaux. Les attaquants ont déposé 100 ETH dans une adresse de sauvegarde, à laquelle 160 ETH ont été transférés d'une autre adresse connectée. Dans l'ensemble, 260 ETH sont tenus à cette adresse sans mouvement supplémentaire.
Sur le polygone, les attaquants ont récolté environ 65 000 $ de jetons, dont WBTC, Sand et STG. La majorité de ces fonds ont été échangés sur OKX-Dex pour près de 67 000 Pol. Un vol supplémentaire a été observé sur Arbitrum (37 000 $) et la base (12 000 $), la majorité des jetons étant échangés contre ETH et pontés sur le réseau Ethereum .
Cryptopolitan Academy: à venir bientôt - une nouvelle façon de gagner un revenu passif avec DeFi en 2025. En savoir plus
