マルウェア「Bom」がユーザーから182万ドル以上を奪う：SlowMist

2025年2月14日に複数のユーザーがウォレット残高への不正アクセスを報告したことを受けて、大規模な暗号通貨強盗計画がdentされました。.

セキュリティ企業のSlowMistとOKXは共同 レポート 、BOMと呼ばれる不正アプリが攻撃の原因であったことを突き止めたとしている。

調査の結果、BOMはユーザーを欺いて写真ライブラリやローカルストレージへのアクセスを許可させることを目的としていることが判明しました。許可を与えると、アプリケーションはウォレットニーモニックフレーズや秘密鍵を含むスクリーンショットや写真を密かにスキャンし、後者は攻撃者のサーバーに投稿されました。.

MistTrackによると、このマルウェアは少なくとも13,000人のユーザーに影響を与え、盗まれた資金の総額は182万ドルを超えています。攻撃者は、 Ethereum、BSC、Polygon、Arbitrum、Baseといった複数のブロックチェーンに資金を移動させ、行動を隠蔽しようとしました。.

マルウェア分析でデータ収集スキームが明らかに

OKX Web3セキュリティチームによる分析の結果、このアプリはUniAppクロスプラットフォームフレームワークを使用して構築されていることが判明しました。これは、機密データのtracを目的として設計されたアーキテクチャです。BOMはインストール時にデバイスのフォトギャラリーとローカルファイルへのアクセス権限を求めます。アプリは、アプリが正常に動作するために権限が必要であると誤解を招くような表示をしています。.

アプリを逆コンパイルした結果、その主な目的はユーザー情報の取得とアップロードにあることが明らかになりました。ユーザーがアプリのtracページにアクセスすると、デバイスのストレージからメディアファイルをスキャンして収集する機能が起動しました。これらのファイルはパッケージ化され、攻撃者が管理する遠隔地のリモートサーバーにアップロードされました。.

アプリケーション内のコードには、「androidDoingUp」や「uploadBinFa」といった関数が含まれていましたが、これらの関数の唯一の目的は、デバイスから画像や動画をダウンロードし、攻撃者にアップロードすることでした。報告URLには、アプリのローカルキャッシュから取得したドメインが使用されていたため、ユーザーがデータの送信先を tracことは容易ではありませんでした。.

この詐欺アプリは、正規アプリで通常使用される意味のある文字列ではなく、ランダムな文字列（「adminwkhvjv」）を含む異常な署名件名を使用していました。この点からも、このアプリが詐欺アプリであることが証明されました。.

オンチェーン資金分析は盗難資産の流れを tracます

盗難のブロックチェーン分析により、複数のネットワークにおける資金の流れが明らかになりました。盗難の主アドレスは2025年2月12日に最初の取引を開始し、 BNB を受領しました。.

BSCチェーンにおいて、攻撃者は主にUSDC、USDT、WBTCで約3万7000ドル相当の利益を上げました。ハッカーたちはPancakeSwapを頻繁に利用し、様々なトークンを BNBに交換していました。現在、このアドレスには BNB と、USDT、DOGE、FILなど約12万ドル相当のトークンが保有されています。.

Ethereum ネットワークは最も多くの盗難被害に遭い、約28万ドルの損失が発生しました。これらの資金の大部分は、他のネットワークからのクロスチェーンETH転送によるものでした。攻撃者は100ETHをバックアップアドレスに預け入れ、そこに別の接続アドレスから160ETHを転送しました。合計で260ETHがこのアドレスに保管されており、追加の移動はありません。.

Polygonでは、攻撃者はWBTC、SAND、STGを含む約65,000ドル相当のトークンを盗み出しました。これらの資金の大部分はOKX-DEXで約67,000POLに交換されました。さらに、Arbitrum（37,000ドル）とBase（12,000ドル）でも盗難が確認され、トークンの大部分はETHに交換され、 Ethereum ネットワークにブリッジされました。.