Bom 멀웨어, 사용자들에게 182만 달러 이상 금전적 손실 안겨: SlowMist

2025년 2월 14일, 여러 사용자가 자신의 지갑 잔액에 무단 접근이 있었다고 신고한 후, 대규모 암호화폐 탈취 계획이dent되었습니다.

보안 업체 슬로우미스트와 OKX는 공동 보고서 를 통해 BOM이라는 악성 앱이 이번 공격의 원인임을 밝혀냈다고 발표했습니다.

이 연구는 BOM이 사용자를 속여 사진 라이브러리와 로컬 저장소에 대한 접근 권한을 획득하도록 설계되었음을 밝혀냈습니다. 사용자가 권한을 제공하면, 해당 애플리케이션은 몰래 스크린샷이나 사진에서 지갑 니모닉 구문 또는 개인 키를 찾아 공격자의 서버로 전송했습니다.

Trac에 따르면, 해당 악성 소프트웨어는 최소 13,000명의 사용자에게 영향을 미쳤으며, 탈취된 자금은 총 182만 달러가 넘습니다. 공격자들은 자신들의 행위를 숨기기 위해 Ethereum, BSC, 폴리곤, 아비트럼, 베이스 등 다양한 블록체인으로 자금을 이체했습니다.

악성코드 분석 결과 데이터 수집 방식이 드러났습니다

OKX Web3 보안팀의 분석 결과, 해당 앱은 UniApp 크로스 플랫폼 프레임워크로 개발된 것으로 나타났습니다. UniApp은 민감한 데이터를trac하도록 설계된 아키텍처입니다. BOM은 설치 시 기기의 사진 갤러리와 로컬 파일에 접근할 수 있는 권한을 요청합니다. 또한, 앱은 권한이 정상적인 작동에 필수적이라고 오해의 소지가 있는 정보를 제공합니다.

앱의 역컴파일 분석 결과, 주요 목적은 사용자 정보를 수집하고 업로드하는 데 집중되어 있음이 드러났습니다. 사용자가 앱의trac페이지를 방문하면 기기 저장소에서 미디어 파일을 스캔하고 수집하는 기능이 활성화되었습니다. 이렇게 수집된 파일들은 패키징되어 공격자가 관리하는 원격 서버로 업로드되었습니다.

해당 애플리케이션의 코드에는 "androidDoingUp" 및 "uploadBinFa"와 같은 함수가 포함되어 있었는데, 이 함수들의 유일한 목적은 기기에서 이미지와 비디오를 다운로드하여 공격자에게 업로드하는 것이었습니다. 신고 URL은 앱의 로컬 캐시에서 가져온 도메인을 사용했기 때문에 사용자는 데이터가 어디로 전송되는지 trac하기 어려웠습니다.

사기 앱의 서명 제목에도 일반적인 앱에서 사용하는 의미 있는 글자 대신 무작위 문자("adminwkhvjv")가 사용되어 비정상적인 점이 있었습니다. 이러한 점 또한 해당 앱이 사기임을 입증하는 요소였습니다.

온체인 펀드 분석을 통해 도난 자산 흐름을 trac수 있습니다

블록체인 분석 결과, 해당 도난 사건은 여러 네트워크에서 자금 흐름을 보였습니다. 주요 도난 주소는 2025년 2월 12일에 첫 거래를 시작했으며, 해당 주소로부터 0.001 BNB 를 수령했습니다.

BSC 체인에서 공격자들은 주로 USDC, USDT, WBTC를 통해 약 37,000달러 상당의 수익을 올렸습니다. 해커들은cakeSwap)을 이용하여 다양한 토큰을 BNB로 교환했습니다. 현재 이 주소에는 611개의 BNB 와 USDT, DOGE, FIL 등 약 120,000달러 상당의 토큰이 있습니다.

Ethereum 네트워크에서 가장 큰 규모의 해킹 공격이 발생하여 약 28만 달러의 손실을 입었습니다. 이 자금의 대부분은 다른 네트워크에서 이더리움을 이체하는 과정에서 발생한 것으로 보입니다. 공격자들은 백업 주소에 100 ETH를 입금했고, 연결된 다른 주소에서 160 ETH가 해당 주소로 이체되었습니다. 현재 이 주소에는 총 260 ETH가 보관되어 있으며, 추가적인 이동은 없습니다.

폴리곤(Polygon)에서 공격자들은 WBTC, SAND, STG를 포함한 약 6만 5천 달러 상당의 토큰을 탈취했습니다. 이 자금의 대부분은 OKX-DEX에서 거의 6만 7천 개의 POL로 교환되었습니다. 아비트럼(Arbitrum, 3만 7천 달러)과 베이스(Base, 1만 2천 달러)에서도 추가적인 탈취가 확인되었으며, 대부분의 토큰은 ETH로 교환되어 Ethereum 네트워크에 투입되었습니다.