Вредоносная программа Bom ограбила пользователей на сумму более 1,82 миллиона долларов: SlowMist

Былdentплан масштабного хищения криптовалюты после того, как 14 февраля 2025 года несколько пользователей сообщили о несанкционированном доступе к балансам своих кошельков.

Компании SlowMist и OKX, специализирующиеся на информационной безопасности, опубликовали совместный отчет , в котором говорится, что за атаки отвечало вредоносное приложение BOM.

Исследование показало, что BOM был предназначен для обмана пользователей с целью получения доступа к их фотобиблиотеке и локальному хранилищу. После предоставления разрешений приложение тайно сканировало систему на наличие скриншотов или фотографий с мнемоническими фразами кошелька или закрытыми ключами. Последние затем размещались на серверах злоумышленников.

По даннымTrac, вредоносное ПО затронуло не менее 13 000 пользователей, а общая сумма украденных средств превысила 1,82 миллиона долларов. Злоумышленники переводили средства через различные блокчейны, такие как Ethereum, BSC, Polygon, Arbitrum и Base, пытаясь скрыть свои действия.

Анализ вредоносного ПО выявляет схему сбора данных

Анализ, проведенный командой безопасности OKX Web3, показал, что приложение было создано с использованием кроссплатформенной платформы UniApp. Эта архитектура предназначена дляtracконфиденциальных данных. При установке BOM запрашивает разрешение на доступ к фотогалерее устройства и локальным файлам. Приложение вводит в заблуждение, утверждая, что для его нормальной работы требуются соответствующие разрешения.

Декомпиляция приложения выявила его основную цель, сосредоточенную на получении и загрузке информации о пользователях. При посещении страницыtracв приложении пользователи активировали функции сканирования и сбора медиафайлов из памяти устройства. Эти файлы упаковывались и загружались на удаленный сервер, управляемый злоумышленниками.

В коде приложения содержались функции, такие как «androidDoingUp» и «uploadBinFa», единственной целью которых была загрузка изображений и видео с устройства и их отправка злоумышленникам. URL-адрес для отправки отчетов использовал домен, полученный из локального кэша приложения; следовательно, пользователям было сложно tracместо назначения своих данных.

Мошенническое приложение также имело аномальную подпись с произвольными буквами («adminwkhvjv») вместо осмысленных букв, обычно используемых в подлинных приложениях. Этот аспект также указывал на мошенничество приложения.

Анализ средств в блокчейне tracпотоки украденных активов

Анализ блокчейна, выявивший кражу, показывает движение средств в нескольких сетях. Основной адрес, с которого была совершена кража, начал свою транзакцию 12 февраля 2025 года, получив 0,001 BNB с этого адреса.

В блокчейне BSC злоумышленники получили прибыль в размере около 37 000 долларов, в основном в USDC, USDT и WBTC. Хакеры часто использовалиcakeSwap для обмена различных токенов на BNB. На данный момент на этом адресе находится 611 BNB и токены на сумму около 120 000 долларов, такие как USDT, DOGE и FIL.

Наибольшие потери понесло сеть Ethereum , сумма ущерба составила около 280 000 долларов. Большая часть этих средств была получена в результате межсетевых переводов ETH из других сетей. Злоумышленники внесли 100 ETH на резервный адрес, на который затем перевели 160 ETH с другого подключенного адреса. В общей сложности на этом адресе хранится 260 ETH, и никаких дополнительных перемещений не произошло.

На платформе Polygon злоумышленники похитили токены на сумму около 65 000 долларов, включая WBTC, SAND и STG. Большая часть этих средств была обменена на OKX-DEX почти на 67 000 POL. Дальнейшие кражи были зафиксированы на Arbitrum (37 000 долларов) и Base (12 000 долларов), при этом большая часть токенов была обменена на ETH и переведена в сеть Ethereum .