Il malware Bom deruba gli utenti di oltre 1,82 milioni di dollari: SlowMist

È statodentun piano di furto di massa di criptovalute in seguito alla segnalazione di accessi non autorizzati ai saldi dei propri portafogli da parte di diversi utenti il ​​14 febbraio 2025.

Le società di sicurezza SlowMist e OKX hanno pubblicato un rapporto in cui dimostrano di aver scoperto che la responsabile degli attacchi è un'app fraudolenta chiamata BOM.

Lo studio ha stabilito che BOM aveva lo scopo di ingannare gli utenti, inducendoli a fornire l'accesso alla propria libreria fotografica e all'archiviazione locale. Dopo aver ottenuto le autorizzazioni, l'applicazione eseguiva segretamente la scansione di screenshot o foto con frasi mnemoniche del portafoglio o chiavi private. Queste ultime venivano pubblicate sui server degli aggressori.

Secondo MistTrac, il malware ha colpito non meno di 13.000 utenti, con fondi rubati per un totale di oltre 1,82 milioni di dollari. Gli aggressori hanno trasferito fondi su diverse blockchain come Ethereum, BSC, Polygon, Arbitrum e Base nel tentativo di nascondere le loro azioni.

L'analisi del malware mostra lo schema di raccolta dei dati

L'analisi del team di sicurezza di OKX Web3 ha dimostrato che l'app è stata sviluppata con il framework multipiattaforma UniApp. Si tratta di un'architettura progettata per l'tracdi dati sensibili. BOM richiede l'autorizzazione per accedere alla galleria fotografica del dispositivo e ai file locali al momento dell'installazione. L'app afferma in modo fuorviante che le autorizzazioni sono necessarie per il normale funzionamento dell'app.

La decompilazione dell'app ha rivelato che il suo scopo principale era il recupero e il caricamento delle informazioni degli utenti. Quando gli utenti visitavano la pagina deltracsull'app, attivavano funzioni che scansionavano e raccoglievano file multimediali dalla memoria del dispositivo. Questi venivano impacchettati e caricati su un server remoto gestito dagli aggressori.

Il codice dell'applicazione conteneva funzioni come "androidDoingUp" e "uploadBinFa", il cui unico scopo era scaricare immagini e video dal dispositivo e caricarli sugli aggressori. L'URL di segnalazione utilizzava un dominio ottenuto dalla cache locale dell'app; pertanto, non era facile per gli utenti tracalla destinazione dei propri dati.

L'app truffaldina presentava anche un oggetto anomalo nella firma, con lettere casuali ("adminwkhvjv") al posto delle lettere significative normalmente utilizzate nelle app autentiche. Anche questo aspetto ha fatto sì che l'app fosse fraudolenta.

L'analisi dei fondi on-chain traci flussi di asset rubati

L'analisi blockchain del furto mostra flussi di fondi su diverse reti. L'indirizzo principale del furto ha avviato la sua transazione iniziale il 12 febbraio 2025, con la ricezione di 0,001 BNB dall'indirizzo.

Sulla catena BSC, gli aggressori hanno realizzato profitti per circa 37.000 dollari, principalmente in USDC, USDT e WBTC. Gli hacker hanno spesso utilizzatocakeSwap per scambiare diversi token in BNB. Al momento, questo indirizzo contiene 611 BNB e circa 120.000 dollari in token, tra cui USDT, DOGE e FIL.

La rete Ethereum ha subito il maggior numero di furti, perdendo circa 280.000 dollari. La maggior parte di questi fondi derivava da trasferimenti di ETH cross-chain da altre reti. Gli aggressori hanno depositato 100 ETH in un indirizzo di backup, a cui sono stati trasferiti 160 ETH da un altro indirizzo collegato. Complessivamente, 260 ETH sono detenuti presso questo indirizzo senza ulteriori movimenti.

Su Polygon, gli aggressori hanno rubato token per un valore di circa 65.000 dollari, tra cui WBTC, SAND e STG. La maggior parte di questi fondi è stata scambiata su OKX-DEX per quasi 67.000 POL. Ulteriori furti sono stati osservati su Arbitrum (37.000 dollari) e Base (12.000 dollari), con la maggior parte dei token scambiati per ETH e trasferiti sulla rete Ethereum .