Следуя различным пользователям, сообщившим о несанкционированном доступе к балансам кошелька, былdentв пользу плана ограбления криптовалюты, сообщивших о несанкционированном доступе к балансам кошелька 14.
Специалисты по безопасности Slowmist и Okx выпустили совместный отчет , показывающий, что они обнаружили, что приложение Rogue под названием Bom отвечало за атаки.
Исследование установило, что BOM предназначалась для того, чтобы обмануть пользователей в предоставлении доступа к их библиотеке фотографий и локальному хранилищу. После предоставления разрешений заявление тайно отсканировано на наличие скриншотов или фотографий с кошельками мнемонических фраз или частных ключей. Последние были отправлены на серверы злоумышленников.
Согласно TistTracK, вредоносное ПО затронуло не менее 13 000 пользователей, а общее количество украденных средств - более 1,82 млн. Долл. США. Злоумышленники перевели средства на различные блокчейны, такие как Ethereum, BSC, Polygon, Arbitrum и Base, пытаясь скрыть свои действия.
Анализ вредоносных программ показывает схему сбора данных
Анализ команды безопасности OKX Web3 показал, что приложение было построено из кроссплатформенной структуры UniAPP. Это была архитектура, предназначенная дляtracконфиденциальных данных. BOM просит разрешения на доступ к фотогалерее устройства и локальным файлам при установке. В приложении вводятся в заблуждение, что разрешения необходимы для приложения для работы нормально.
Декомпиляция приложения выявила свою основную цель, ориентированную на получение и загрузку информации пользователя. Когда пользователи посетили страницу ContracT в приложении, они активировали функции, которые сканировали и собирали медиа -файлы с хранения устройства. Они были упакованы и загружены на далекий удаленный сервер, управляемый злоумышленниками.
В коде в приложении были такие функции, как «Androiddoingup» и «uploadbinfa», единственной целью которой было загрузка изображений и видео с устройства и загружать их на злоумышленников. В сообщении URL использовался домен, который был получен из локального кеша приложения; Следовательно, пользователям было нелегко tracпункт назначения своих данных.
Приложение SCAM также имело аномальную подпись субъекта со случайными буквами («adminwkhvjv») вместо значимых букв, обычно используемых в подлинных приложениях. Этот аспект также установил приложение как мошенническое.
tracфондов в цепь
Анализ блокчейна кражи показывает потоки фондов в нескольких сетях. Основной адрес кражи инициировал свою первоначальную транзакцию 12 февраля 2025 года с получением 0,001 BNB от адреса.
В цепочке бакалавриата злоумышленники получили прибыль на сумму около 37 000 долларов, в основном в USDC, USDT и WBTC. Хакеры часто использовали подсасываниеcakeдля обмена различными токенами в BNB. На данный момент этот адрес имеет 611 BNB и токены на сумму около 120 000 долларов, такие как USDT, Doge и Fil.
Сеть Ethereum пережила больше всего кражи, потеряв около 280 000 долларов. Большинство из этих средств были получены в результате перекрестных переводов ETH-цепь из других сетей. Злоумышленники внесли 100 ETH в резервный адрес, на который 160 ETH был переведен с другого подключенного адреса. В целом, 260 ETH хранятся по этому адресу без дополнительного движения.
На Полигоне злоумышленники воспользовались токенами на сумму около 65 000 долларов, включая WBTC, Sand и STG. Большинство этих средств были обменены на OKX-DEX почти на 67 000 Pol. Дальнейшая кража наблюдалась на арбите (37 000 долл. США) и базе (12 000 долл. США), причем большинство токенов обменивались на ETH и перевязаны в сеть Ethereum .
Криптополитическая академия: устал от рыночных колебаний? Узнайте, как DeFi может помочь вам получить стабильный пассивный доход. Зарегистрироваться сейчас
