Le logiciel malveillant Bom a dérobé plus de 1,82 million de dollars à ses utilisateurs : SlowMist

Un projet de vol massif de cryptomonnaies a étédentsuite à plusieurs signalements d'accès non autorisés à leurs portefeuilles électroniques le 14 février 2025.

Les sociétés de sécurité SlowMist et OKX ont publié un rapport montrant qu'elles ont découvert qu'une application malveillante appelée BOM était responsable des attaques.

L'étude a établi que BOM visait à tromper les utilisateurs afin qu'ils donnent accès à leur photothèque et à leur espace de stockage local. Une fois les autorisations accordées, l'application recherchait secrètement des captures d'écran ou des photos contenant des phrases mnémoniques de portefeuille ou des clés privées. Ces dernières étaient ensuite envoyées aux serveurs des attaquants.

Selon MistTrac, le logiciel malveillant a touché au moins 13 000 utilisateurs, pour un montant total de plus de 1,82 million de dollars. Les attaquants ont transféré les fonds sur différentes blockchains telles Ethereum, BSC, Polygon, Arbitrum et Base afin de dissimuler leurs agissements.

L'analyse des logiciels malveillants révèle un schéma de collecte de données

L'analyse de l'équipe de sécurité OKX Web3 a révélé que l'application était développée avec le framework multiplateforme UniApp. Cette architecture est conçue pourtracdes données sensibles. Lors de son installation, BOM demande l'autorisation d'accéder à la galerie photo et aux fichiers locaux de l'appareil. L'application indique de manière trompeuse que ces autorisations sont nécessaires à son bon fonctionnement.

La décompilation de l'application a révélé que son objectif principal était de récupérer et de télécharger des informations utilisateur. Lorsque les utilisateurs accédaient à la page detrac, ils activaient des fonctions qui analysaient et collectaient les fichiers multimédias stockés sur l'appareil. Ces fichiers étaient ensuite compressés et téléchargés sur un serveur distant géré par les attaquants.

Le code de l'application comportait des fonctions telles que « androidDoingUp » et « uploadBinFa », dont le seul but était de télécharger des images et des vidéos depuis l'appareil et de les transférer aux attaquants. L'URL de signalement utilisait un domaine provenant du cache local de l'application ; il était donc difficile pour les utilisateurs de tracla destination de leurs données.

L'application frauduleuse présentait également une signature anormale, composée de lettres aléatoires (« adminwkhvjv ») au lieu des lettres significatives habituellement utilisées dans les applications authentiques. Cet élément a également permis de confirmer qu'il s'agissait d'une application frauduleuse.

L'analyse des fonds sur la blockchain tracles flux d'actifs volés

L'analyse blockchain du vol révèle des flux de fonds sur plusieurs réseaux. L'adresse principale du vol a initié sa première transaction le 12 février 2025, avec la réception de 0,001 BNB .

Sur la blockchain BSC, les attaquants ont réalisé un profit d'environ 37 000 $, principalement en USDC, USDT et WBTC. Ils utilisaient fréquemmentcakeSwap pour échanger différents tokens contre BNB. À l'heure actuelle, cette adresse détient 611 BNB et environ 120 000 $ de tokens, tels que des USDT, des DOGE et des FIL.

Le réseau Ethereum a été le plus touché par le vol, avec une perte d'environ 280 000 $. La majorité de ces fonds provenait de transferts d'ETH entre réseaux. Les attaquants ont déposé 100 ETH sur une adresse de secours, vers laquelle 160 ETH ont été transférés depuis une autre adresse connectée. Au total, 260 ETH sont détenus sur cette adresse, sans aucun mouvement supplémentaire.

Sur Polygon, les attaquants ont dérobé pour environ 65 000 $ de jetons, notamment des WBTC, des SAND et des STG. La majeure partie de ces fonds a été échangée sur OKX-DEX contre près de 67 000 POL. D'autres vols ont été constatés sur Arbitrum (37 000 $) et Base (12 000 $), la plupart des jetons ayant été échangés contre de l'ETH et transférés sur le réseau Ethereum .