2025년 2월 14일, 많은 사용자가 자신의 지갑 자산이 도난당했다고 보고했습니다. 온체인 데이터를 분석한 결과, 모든 도난 사례는 니모닉 문구/개인 키 유출의 특성을 충족했습니다. 피해를 입은 사용자를 추가로 방문한 결과 대부분이 BOM이라는 애플리케이션을 설치하여 사용한 것으로 나타났습니다. 심층 조사 결과 이 애플리케이션은 실제로 신중하게 위장된 사기 소프트웨어임이 드러났습니다. 범죄자들은 이 소프트웨어를 사용하여 사용자에게 권한을 부여하고, 불법적으로 니모닉/개인 키 권한을 획득한 다음 체계적인 자산 이전 및 은폐를 구현합니다. 따라서 SlowMist AML 팀과 OKX Web3 보안 팀은 맬웨어의 작동 방식을 조사하여 공개하고 체인상 추적 분석을 수행하여 더 많은 사용자에게 보안 경고 및 제안을 제공하고자 했습니다.
1. 악성코드 분석(OKX)
사용자의 동의 하에 OKX Web3 보안팀은 일부 사용자의 휴대폰에서 BOM 애플리케이션의 apk 파일을 수집하여 분석했습니다. 자세한 내용은 다음과 같습니다.
1. 결론
1. 악성 앱은 계약 페이지에 접속한 후, 애플리케이션을 실행하는 데 필요하다는 이유로 사용자를 속여 로컬 파일 및 앨범 권한을 부여하도록 합니다.
2. 앱은 사용자 승인을 받은 후 백그라운드에서 기기의 사진 앨범에 있는 미디어 파일을 스캔하고 수집하여 이를 패키징한 다음 서버에 업로드합니다. 사용자의 파일이나 사진 앨범에 니모닉이나 개인 키 관련 정보가 포함되어 있는 경우 범죄자는 앱에서 수집한 관련 정보를 사용하여 사용자의 지갑 자산을 훔칠 수 있습니다.
2. 분석 프로세스
1. 샘플의 예비 분석
1) 애플리케이션 시그니처 분석
서명 주체는 표준화되지 않았습니다. 파싱 후, adminwkhvjv가 되는데, 이는 무의미한 무작위 문자의 무리입니다. 일반적인 애플리케이션은 일반적으로 의미 있는 문자 조합을 사용합니다.
2) 악성 권한 분석
앱의 AndroidManifest 파일에서 볼 수 있듯이, 많은 수의 권한이 등록되어 있습니다. 여기에는 로컬 파일 읽기 및 쓰기, 미디어 파일, 앨범 읽기 등 정보에 민감한 권한이 포함되어 있습니다.
2. 동적 분석
분석 중에 앱의 백엔드 인터페이스 서비스가 오프라인 상태였기 때문에 앱을 정상적으로 실행할 수 없었고, 동적 분석을 당장 수행할 수 없었습니다.
3. 디컴파일 분석
디컴파일 후, 이 애플리케이션의 dex에 있는 클래스 수가 매우 적다는 것을 발견했고, 코드 수준에서 이러한 클래스에 대한 정적 분석을 수행했습니다.
주요 논리는 일부 파일을 해독하고 애플리케이션을 로드하는 것입니다.
uniapp의 제품 파일은 assets 디렉토리에 있는데, 이는 해당 앱이 크로스 플랫폼 프레임워크 uniapp을 사용하여 개발되었음을 나타냅니다.
uniapp 프레임워크에서 개발된 애플리케이션의 주요 로직은 제품 파일 app-service.js에 있습니다. 일부 키 코드는 app-confusion.js에 암호화되어 있습니다. 우리는 주로 app-service.js에서 분석을 시작합니다.
1) 트리거 항목
각 등록페이지 입구에는 계약페이지라는 입구가 있는데요
해당 함수 인덱스는 6596입니다.
2) 기기정보 초기화 보고
계약 페이지가 로드된 후 onLoad() 콜백은 doContract()를 호출합니다.
initUploadData()는 doContract()에서 호출됩니다.
initUploadData()에서는 먼저 네트워크 상태를 확인하고, 사진과 비디오 목록이 비어 있는지도 확인합니다. 마지막으로 콜백 e()가 호출됩니다.
콜백 e()는 getAllAndIOS()입니다.
3) 권한 확인 및 요청
여기 iOS에서는 권한을 먼저 요청하고, 사용자는 앱이 제대로 실행되는 데 필요한 사본에 동의하도록 속습니다. 여기서 권한 요청 동작은 다소 의심스럽습니다. 블록체인 관련 애플리케이션으로서, 정상적인 작동은 사진 앨범의 권한과 필연적으로 관련이 없습니다. 이 요청은 분명히 애플리케이션이 실행되기 위한 일반적인 요구 사항을 초과합니다.
안드로이드의 경우 사진 앨범 접근 권한을 먼저 확인하고 신청해야 합니다.
4) 앨범 파일 수집 및 읽기
그런 다음 androidDoingUp에서 사진과 비디오를 읽고 패키징합니다.
5) 앨범 파일 업로드
마지막으로 uploadBinFa(), uploadZipBinFa(), uploadDigui()에 파일을 업로드합니다. 업로드 인터페이스 경로도 임의의 문자열임을 알 수 있습니다.
iOS 프로세스도 비슷합니다. 권한을 얻은 후 iOS는 getScreeshotAndShouchang()을 통해 업로드된 콘텐츠를 수집하기 시작합니다.
6) 업로드 인터페이스
보고된 URL의 commonUrl 도메인 이름은 /api/bf 9023/c 99 so 인터페이스의 반환에서 나옵니다.
이 인터페이스의 도메인은 uniapp의 로컬 캐시에서 나옵니다.
캐시에 쓰기 위한 코드를 찾을 수 없습니다. 암호화되고 난독화되어 app-confusion.js에 존재할 수 있습니다. 도메인은 과거 실행 중에 애플리케이션 캐시에서 확인되었습니다.
2. 온체인 펀딩 분석(SlowMist)
SlowMist AML 산하의 온체인 추적 및 자금세탁 방지 툴인 MistTrack의 분석에 따르면, 현재 주요 코인 도난 주소(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)를 통해 최소 13,000명의 사용자로부터 자금이 훔쳐져 182만 달러 이상의 수익이 발생했습니다.
(https://dune.com/queries/4721460)
주소 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab의 첫 번째 거래는 2025년 2월 12일에 발생했으며, 주소 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35에서 초기 자본으로 0.001 BNB가 이체되었습니다.
주소 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35를 분석한 결과, 이 주소의 첫 거래도 2025년 2월 12일에 나타났습니다. 초기 자금은 MistTrack에서 도난-도난된 개인 키로 표시된 주소 0x71552085c854EeF431EE55Da5B024F9d845EC976에서 나왔습니다.
초기 해커 주소 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab의 자금 흐름을 계속 분석합니다.
BSC: USDC, USDT, WBTC 및 기타 통화를 포함하여 약 37,000달러의 이익이 발생했으며, 종종 PancakeSwap을 사용하여 일부 토큰을 BNB로 교환합니다.
현재 주소 잔액은 611 BNB이고, USDT, DOGE, FIL 등 약 12만 달러 상당의 토큰이 있습니다.
이더리움: 약 28만 달러의 이익이 발생했으며, 대부분은 다른 체인에서 전송된 ETH에서 발생했습니다. 그런 다음 100 ETH가 0x7438666a4f60c4eedc471fa679a43d8660b856e0으로 전송되었습니다. 이 주소는 또한 위 주소 0x71552085c854EeF431EE55Da5B024F9d845EC976에서 전송된 160 ETH를 받았습니다. 총 260 ETH가 아직 전송되지 않았습니다.
폴리곤: WBTC, SAND, STG 및 기타 통화를 포함하여 약 37,000 또는 65,000달러의 이익. 대부분의 토큰은 OKX-DEX를 통해 66,986 POL로 교환되었습니다. 해커 주소의 현재 잔액은 다음과 같습니다.
Arbitrum: USDC, USDT, WBTC 및 기타 통화를 포함하여 약 37,000달러의 이익, ETH로 변환된 토큰, OKX-DEX를 통해 Ethereum으로 크로스 체인된 총 14 ETH:
Base: FLOCK, USDT, MOLLY 및 기타 통화를 포함한 약 12,000달러의 이익, ETH로 변환된 토큰, OKX-DEX를 통해 Ethereum으로 크로스 체인된 총 4.5 ETH:
나머지 체인은 자세히 설명하지 않습니다. 또한 피해자가 제공한 또 다른 해커의 주소에 대해서도 간략하게 분석했습니다.
해커 주소 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0의 첫 번째 거래는 2025년 2월 13일에 나타났으며, 약 65만 달러의 이익을 냈으며, 여러 체인이 관련되었고, 관련 USDT는 TRON 주소 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx와 크로스 체인되었습니다.
주소 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx에는 총 703,119.2422 USDT가 수신되었으며, 잔액은 288,169.2422 USDT였습니다. 이 중 83,000 USDT는 주소 TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus로 이체되었으며 이체되지 않았고, 나머지 331,950 USDT는 Huionepay와 상호 작용했던 주소 THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz로 이체되었습니다.
우리는 관련 잔액 주소를 계속 모니터링할 것입니다.
3. 안전 권장 사항
사용자가 보호 인식을 개선할 수 있도록 SlowMist AML 팀과 OKX Web3 보안 팀은 다음과 같은 보안 권장 사항을 정리했습니다.
1. 알 수 없는 출처의 소프트웨어(소위 울-풀링 도구 및 알 수 없는 게시자의 소프트웨어 포함)를 절대 다운로드하지 마십시오.
2. 친구나 커뮤니티에서 추천한 소프트웨어 다운로드 링크는 절대 믿지 말고, 항상 공식 채널에서 다운로드하세요.
3. Google Play, App Store, 주요 공식 앱 스토어 등 일반 채널에서 앱을 다운로드하여 설치하세요.
4. 니모닉을 제대로 보관하세요. 스크린샷을 찍거나, 사진을 찍거나, 노트패드나 클라우드 드라이브를 사용하여 저장하지 마세요. OKX 지갑 모바일 앱에서는 개인 키와 니모닉 문구 페이지의 스크린샷을 금지했습니다.
5. 니모닉을 저장하기 위해 물리적 방법을 사용합니다. 예를 들어, 종이에 복사하거나 하드웨어 지갑에 저장하거나, 분할된 저장(니모닉/개인 키를 분할하여 다른 위치에 저장) 등을 사용합니다.
6. 지갑을 정기적으로 바꾸세요. 가능하다면 지갑을 정기적으로 바꾸면 잠재적인 보안 위험을 제거하는 데 도움이 될 수 있습니다.
7. MistTrack(https://misttrack.io/)과 같은 전문적인 온체인 추적 도구를 사용하여 자금을 모니터링하고 분석하고, 사기 또는 피싱 위험을 줄이고, 자산 보안을 더 잘 보호합니다.
8. SlowMist의 창립자인 Yu Xian이 쓴 블록체인 다크 포레스트 셀프 레스큐 매뉴얼을 꼭 읽어보세요.
부인 성명
본 콘텐츠는 정보 제공 목적으로만 제공되며 (i) 투자 조언이나 권장, (ii) 디지털 자산의 매수, 매도 또는 보유에 대한 제안이나 권유, (iii) 재무, 회계, 법률 또는 세무 조언을 구성하지 않으며 그렇게 해석되어서는 안 됩니다. 우리는 이러한 정보의 정확성, 완전성 또는 유용성을 보장하지 않습니다. 디지털 자산(스테이블코인과 NFT 포함)은 시장 변동의 영향을 받고, 위험이 크며, 가치를 잃거나 아예 가치가 없어질 수도 있습니다. 귀하의 재정 상황과 위험 감수 능력에 따라 디지털 자산의 거래 또는 보유가 적합한지 신중하게 고려해야 합니다. 귀하의 구체적인 상황에 대해서는 법률/세무/투자 전문가와 상의하시기 바랍니다. 모든 제품이 모든 지역에서 판매되는 것은 아닙니다. 자세한 내용은 OKX 서비스 약관과 위험 공개 및 면책 조항을 참조하세요. OKX Web3 모바일 지갑과 파생 서비스에는 별도의 서비스 약관이 적용됩니다. 해당 지역의 관련 법률 및 규정을 이해하고 준수하는 것이 중요합니다.
