Um plano de roubo em massa de criptomoedas foidentapós diversos usuários relatarem acesso não autorizado aos saldos de suas carteiras em 14 de fevereiro de 2025.
As empresas de segurança SlowMist e OKX divulgaram um relatório mostrando que descobriram que um aplicativo malicioso chamado BOM foi o responsável pelos ataques.
O estudo comprovou que o BOM tinha como objetivo enganar os usuários para que concedessem acesso à sua biblioteca de fotos e ao armazenamento local. Após a concessão das permissões, o aplicativo realizava uma varredura secreta em busca de capturas de tela ou fotos com frases mnemônicas de carteiras digitais ou chaves privadas. Estas últimas eram então enviadas aos servidores dos atacantes.
Segundo aTrac, o malware afetou pelo menos 13.000 usuários, com um total de fundos roubados superior a US$ 1,82 milhão. Os atacantes transferiram fundos em diferentes blockchains, como Ethereum, BSC, Polygon, Arbitrum e Base, numa tentativa de ocultar suas ações.
A análise de malware revela um esquema de coleta de dados
A análise da equipe de segurança Web3 da OKX mostrou que o aplicativo foi desenvolvido com o framework multiplataforma UniApp. Essa arquitetura foi projetada paratracdados sensíveis. O BOM solicita permissão para acessar a galeria de fotos e os arquivos locais do dispositivo durante a instalação. O aplicativo afirma, de forma enganosa, que as permissões são necessárias para o seu funcionamento normal.
A descompilação do aplicativo revelou que seu principal objetivo era obter e enviar informações do usuário. Quando os usuários acessavam a página detracno aplicativo, ativavam funções que escaneavam e coletavam arquivos de mídia do armazenamento do dispositivo. Esses arquivos eram compactados e enviados para um servidor remoto gerenciado pelos atacantes.
O código do aplicativo continha funções como “androidDoingUp” e “uploadBinFa”, cujo único propósito era baixar imagens e vídeos do dispositivo e enviá-los aos atacantes. A URL de denúncia utilizava um domínio obtido do cache local do aplicativo; portanto, não era fácil para os usuários traco destino de seus dados.
O aplicativo fraudulento também apresentava um assunto de assinatura anômalo com letras aleatórias (“adminwkhvjv”) em vez das letras significativas normalmente usadas em aplicativos legítimos. Esse aspecto também confirmou a natureza fraudulenta do aplicativo.
A análise de fundos on-chain tracfluxos de ativos roubados
A análise da blockchain do roubo mostra fluxos de fundos em diversas redes. O endereço principal do roubo iniciou sua transação inicial em 12 de fevereiro de 2025, com o recebimento de 0,001 BNB desse endereço.
Na blockchain BSC, os atacantes obtiveram um lucro de aproximadamente US$ 37.000, principalmente em USDC, USDT e WBTC. Os hackers frequentemente utilizavam ocakeSwap para trocar diferentes tokens por BNB. Atualmente, este endereço possui 611 BNB e cerca de US$ 120.000 em tokens, como USDT, DOGE e FIL.
A rede Ethereum foi a mais afetada pelos roubos, com uma perda de aproximadamente US$ 280.000. A maior parte desses fundos resultou de transferências de ETH entre diferentes redes. Os atacantes depositaram 100 ETH em um endereço de backup, para o qual foram transferidos 160 ETH de outro endereço conectado. No total, 260 ETH estão retidos nesse endereço, sem nenhuma movimentação adicional.
Na Polygon, os atacantes obtiveram cerca de US$ 65.000 em tokens, incluindo WBTC, SAND e STG. A maior parte desses fundos foi trocada na OKX-DEX por quase 67.000 POL. Outros roubos foram observados na Arbitrum (US$ 37.000) e na Base (US$ 12.000), com a maioria dos tokens sendo trocada por ETH e transferida para a rede Ethereum .
