Web3 세계는 끊임없이 진화하고 있습니다. 그리고 이러한 진화와 함께 커뮤니티는 새롭고 복잡한 위협에 직면하고 있으며 그 중 하나는 가짜 지갑의 확산입니다. 이러한 가짜 지갑은 Web3 커뮤니티에서 지속적이고 성가신 문제이며 이를 식별하고 노출하기 위한 전담 연구가 필요합니다.
CertiK는 최근 사용자가 자산을 훔치도록 속이기 위해 가짜 지갑을 배치한 조직화된 사기 그룹을 발견했습니다. 이 그룹이 사용하는 특정 회피 안티 포렌식 기능은 드물기 때문에 이름을 BombFlower로 지정했습니다.
그룹에서 사용하는 탐지 회피 기술로 인해 이러한 가짜 지갑 모바일 앱은 주류 맬웨어 탐지 도구에서 놓칠 가능성이 높습니다.
이 문서에서 CertiK의 보안 전문가는 그룹 활동에 대한 개요와 CertiK가 이를 식별하고 공개하기 위해 수행한 단계를 제공합니다. 이 게시물이 Web3 커뮤니티에 관련 위협에 직면하여 안전하게 유지하는 데 도움이 되는 귀중한 통찰력을 제공하기를 바랍니다.
BombFlower는 실제 및 가짜 Monkey King을 만듭니다.
연구 노력의 일환으로 CertiK 전문가 팀은 BombFlower 그룹이 배포한 가짜 지갑을 추적해 왔습니다.
BombFlower는 빠르면 2021년 10월에 가짜 지갑을 배포했으며 올해 초에도 계속 활동했습니다.
이미지 설명
BombFlower에 의해 위조된 잘 알려진 지갑 및 타임라인
BombFlower는 일반적으로 원래의 합법적인 지갑과 매우 유사하도록 가짜 지갑을 디자인합니다.
아래 그림의 트러스트 월렛에서 볼 수 있듯이 이러한 피싱 웹사이트는 원래 웹사이트와 비슷한 디자인과 레이아웃을 사용하지만 도메인 이름은 약간 다릅니다. 사용자가 자세히 보지 않고는 알기가 매우 어렵습니다.
이미지 설명
BombFlower의 피싱 사이트는 공식 사이트와 거의 동일하게 보입니다.
BombFlow 백도어 기술 세부 정보
가짜 지갑은 web3 커뮤니티에 끊임없는 위협이었습니다. 대부분의 가짜 지갑 백도어는 지갑의 javascript 코드(예: index.android.bundle)나 smali 코드에 악성코드를 직접 주입하는 등 니모닉 생성 기능을 해킹할 수 있습니다.
SeaFlower에 대한 이전 연구에서는 이러한 유형의 백도어에 대해 많은 세부 정보를 제공했습니다.
그러나 BombFlower 백도어는 이전의 가짜 지갑 악성코드와 다릅니다. 구별되는 기능이 있습니다. 트로이 목마 파일 내부에는 다른 앱의 바이너리가 있는 반면 실제 가짜 지갑은 실제로 BombFlower 앱 내부에 숨겨져 있습니다.
이미지 설명
BombFlower 앱에서 bitkeep.apk 추출 및 실행
이미지 설명
백도어 추출 비밀
이미지 설명
니모닉 문구는 안티블로킹 어플리케이션의 서버에 업로드 됩니다.
그러나 이들은 BombFlower 가짜 지갑의 고유한 백도어 중 일부에 대한 간략한 요약일 뿐입니다.
CertiK의 연구에서 전문가들은 또한 이러한 트로이 목마화된 모바일 애플리케이션이 다양하고 복잡하고 비정상적인 동작을 포함하고 있음을 발견했습니다. 이 기사에서는 이 제품군의 주요 특징만 설명합니다.
BombFlower 독특한 요령
ZipBomb 정찰 방지 압축 폭탄 💣
BombFlower Group은 ZipBomb(압축 폭탄)으로 알려진 고유한 안티 포렌식 기술을 사용하는 것으로 유명하며 연구원의 탐지 및 분석을 회피하는 데 사용됩니다.
BombFlower가 배포한 일부 샘플에서 가짜 지갑 바이너리에는 숨겨진 ZipBomb이 포함되어 있습니다. 이러한 가짜 지갑에 자동화된 분석 도구를 사용하고 리소스 파일의 압축을 풀면 폭탄이 작동하여 디컴파일러에서 대량의 정크 파일을 생성합니다. 분석 중에 특별한 조치를 취하지 않는 한 폭탄이 터지면 추가 분석이 더 어려워질 수 있습니다.
이미지 설명
ZipBomb 폭탄 효과
이 기술 덕분에 BombFlower의 트로이 목마 파일은 VirusTotal 웹 사이트에 표시된 낮은 또는 심지어 0의 탐지율에서 알 수 있듯이 시중의 대부분의 바이러스 스캐너를 회피하는 경향이 있습니다.
VirusTotal의 모바일 애플리케이션 정보 출력 결과를 비교할 수 있는데, BombFlower Android 샘플을 VirusTotal에 직접 로드하면 소프트웨어 관련 정보가 표시되지 않고 내장된 가짜 지갑 프로그램이 업로드되면 더 풍부한 프로그램 정보를 생성하여 표시됩니다.
이미지 설명
이미지 설명
이 트로이 목마에 대한 일반 APK 분석 결과
이 기술은 독특할 뿐만 아니라 극도로 반 정찰되어 연구원이 그룹의 활동을 추적하기 어렵게 만듭니다. 이것이 CertiK 전문가가 그룹을 BombFlower로 명명한 이유 중 하나입니다.
BombFlower 호스트 및 백엔드
BombFlower 그룹은 가짜 지갑 캠페인에서 다양한 클라우드 공급자를 사용하는 것으로 유명합니다. CertiK 전문가에 따르면 이 그룹은 다양한 공급자를 사용하여 백엔드 서버(홍콩과 영국에 위치)를 호스팅하여 인프라를 다양화하고 연구원이 활동을 추적하기 어렵게 만듭니다.
그래도 CertiK는 공유 도메인 이름과 등록 기록을 식별하여 그룹의 다양한 클라우드 공급자를 연결했습니다.
이미지 설명
BombFlower는 호스트 및 백엔드 인프라를 시각화합니다.
CertiK는 또한 다양한 캠페인에서 여러 공유 특성을 식별하여 이러한 가짜 지갑을 BombFlower 그룹에 연결했습니다. 이러한 공통 기능에는 공유 도메인 이름, 호스팅 인프라(위에 표시됨), 상대적으로 고유한 정찰 방지 기술(예: ZipBomb) 및 백도어에서 유사한 후킹 기술 사용(ddhooker java 패키지)이 포함됩니다.
가짜 지갑에 대한 SEO
가짜 지갑 공격자는 종종 검색 엔진 최적화(SEO) 전술을 사용하여 검색 엔진 결과를 조작하여 가짜 웹 사이트가 사용자 검색 결과 상단에 나타나도록 합니다.
가장 일반적이고 간단한 전술 중 하나는 지갑 관련 키워드를 구매하여 가짜 웹 사이트의 순위를 높이고 사용자를 혼란스럽게 하는 것입니다. 순위가 높으면 사용자는 자연히 가짜 웹사이트를 클릭할 가능성이 높아집니다.
BombFlower는 이 전술을 사용하는 그룹 중 하나이며 무서운 것은 이 전술이 BombFlower에만 고유한 것이 아니라 가짜 지갑 공격자가 순진한 사용자를 속이기 위해 사용하는 일반적인 방법이라는 것입니다.
이미지 설명
실제 지갑 대 가짜 지갑 Google 검색 결과
Web3 커뮤니티는 이러한 범죄 조직의 운영 방식을 이해하고 온라인에서 지갑을 검색할 때 경계를 유지하는 것이 중요합니다.
CertiK는 사용자가 공식 웹사이트를 사용하거나 지갑을 다운로드하거나 사용하기 전에 웹사이트의 진위 여부를 확인하도록 조언합니다. 예를 들어 해당 지갑에 대한 리뷰와 정보를 확인하고 검색 엔진 결과 상단에 표시되는 사이트를 조심하세요. 가짜 지갑 공격자가 조작했을 수 있기 때문입니다.
보안 전문가의 요약 및 조언
CertiK의 전문가 팀은 BombFlower를 조직 범죄 그룹으로 식별했으며 그룹이 사용자를 속이기 위해 가짜 지갑을 적극적으로 배포하고 있음을 발견했습니다.
이 갱단은 연구원들이 그들의 활동을 추적하고 맬웨어 탐지기가 가짜 지갑을 식별하는 것을 어렵게 하기 위해 회피형 포렌식 기법을 사용했습니다. 독특한 방법은 다른 범죄 집단에 비해 두각을 나타내기 쉽습니다.
전문가 팀은 그룹의 타임라인과 사용된 백도어 기술을 분석했을 뿐만 아니라 이 가짜 지갑 패밀리의 백도어 회피 동작을 발견했습니다. 이 문서는 이 제품군의 주요 특징에 대해서만 다룹니다. 앞으로 우리는 이 범죄 조직을 계속 모니터링 및 추적하고 더 많은 기사에서 이 가짜 지갑 맬웨어 제품군의 다른 비정상적인 동작을 공개하여 Web3 분야의 보안에 대한 더 많은 분석과 통찰력을 제공할 것입니다.
