OKX SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

avatar
欧易OKX
1tháng trước
Bài viết có khoảng 4181từ,đọc toàn bộ bài viết mất khoảng 6 phút
Các cuộc điều tra chuyên sâu đã chỉ ra rằng ứng dụng này thực chất là một phần mềm lừa đảo được ngụy trang cẩn thận. Tội phạm sử dụng phần mềm để dụ người dùng ủy quyền, lấy quyền ghi nhớ/khóa riêng tư một cách bất hợp pháp, sau đó thực hiện chuyển giao tài sản có hệ thống và che giấu.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Vào ngày 14 tháng 2 năm 2025, nhiều người dùng đã báo cáo rằng tài sản trong ví của họ đã bị đánh cắp. Sau khi phân tích dữ liệu trên chuỗi, tất cả các trường hợp trộm cắp đều đáp ứng các đặc điểm của rò rỉ cụm từ ghi nhớ/khóa riêng. Các cuộc kiểm tra tiếp theo đối với những người dùng bị hại cho thấy hầu hết họ đã cài đặt và sử dụng một ứng dụng có tên là BOM. Các cuộc điều tra chuyên sâu đã chỉ ra rằng ứng dụng này thực chất là một phần mềm lừa đảo được ngụy trang cẩn thận. Tội phạm sử dụng phần mềm để dụ người dùng ủy quyền, lấy quyền ghi nhớ/khóa riêng tư một cách bất hợp pháp, sau đó thực hiện chuyển giao tài sản có hệ thống và che giấu. Do đó, nhóm AML SlowMist và nhóm bảo mật OKX Web3 đã điều tra và tiết lộ cách thức hoạt động của phần mềm độc hại và tiến hành phân tích theo dõi trên chuỗi, với hy vọng cung cấp cho nhiều người dùng hơn các cảnh báo và đề xuất bảo mật.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

1. Phân tích phần mềm độc hại (OKX)

Với sự đồng ý của người dùng, nhóm bảo mật OKX Web3 đã thu thập các tệp apk của ứng dụng BOM trên điện thoại của một số người dùng để phân tích. Chi tiết như sau:

1. Kết luận

1. Sau khi vào trang hợp đồng, ứng dụng độc hại sẽ lừa người dùng cấp quyền truy cập tệp và album cục bộ với lý do rằng điều này là cần thiết để ứng dụng chạy.

2. Sau khi nhận được sự cho phép của người dùng, ứng dụng sẽ quét và thu thập các tệp phương tiện trong album ảnh của thiết bị ở chế độ nền, đóng gói chúng và tải lên máy chủ. Nếu tệp hoặc album ảnh của người dùng chứa thông tin liên quan đến khóa riêng tư hoặc ký tự ghi nhớ, tội phạm có thể sử dụng thông tin liên quan do ứng dụng thu thập để đánh cắp tài sản trong ví của người dùng.

2. Quá trình phân tích

1. Phân tích sơ bộ mẫu

1) Phân tích chữ ký ứng dụng

Chủ thể chữ ký không được chuẩn hóa. Sau khi phân tích, nó là adminwkhvjv, là một nhóm các ký tự ngẫu nhiên vô nghĩa. Các ứng dụng thông thường thường sử dụng một tổ hợp các chữ cái có ý nghĩa.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

2) Phân tích quyền độc hại

Như bạn có thể thấy trong tệp AndroidManifest của ứng dụng, một số lượng lớn quyền đã được đăng ký. Nó chứa một số quyền nhạy cảm về thông tin, bao gồm đọc và ghi tệp cục bộ, đọc tệp phương tiện, album, v.v.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

2. Phân tích động

Do dịch vụ giao diện phụ trợ của ứng dụng ngoại tuyến trong quá trình phân tích nên ứng dụng không thể chạy bình thường và không thể thực hiện phân tích động trong thời điểm hiện tại.

3. Phân tích giải biên dịch

Sau khi dịch ngược, chúng tôi thấy rằng số lượng lớp trong dex của ứng dụng này rất ít và chúng tôi đã tiến hành phân tích tĩnh trên các lớp này ở cấp độ mã.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Logic chính của nó là giải mã một số tập tin và tải ứng dụng:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Các tập tin sản phẩm của uniapp nằm trong thư mục tài sản, cho biết ứng dụng được phát triển bằng cách sử dụng khuôn khổ đa nền tảng uniapp:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Logic chính của ứng dụng được phát triển theo khuôn khổ uniapp nằm trong tệp sản phẩm app-service.js. Một số mã khóa được mã hóa trong app-confusion.js. Chúng tôi chủ yếu bắt đầu phân tích từ app-service.js.

1) Kích hoạt mục nhập

Ở lối vào của mỗi trang đăng ký, tôi thấy lối vào được gọi là trang hợp đồng

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Chỉ số chức năng tương ứng là 6596

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

2) Báo cáo khởi tạo thông tin thiết bị

Hàm gọi lại onLoad() sau khi trang hợp đồng được tải sẽ gọi doContract()

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

initUploadData() được gọi trong doContract()

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Trong initUploadData(), trạng thái mạng sẽ được kiểm tra trước tiên và danh sách hình ảnh và video có trống hay không cũng sẽ được kiểm tra. Cuối cùng, hàm gọi lại e() được gọi

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Gọi lại e() là getAllAndIOS(),

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

3) Kiểm tra và yêu cầu cấp quyền

Ở đây, trong iOS, trước tiên, quyền sẽ được yêu cầu và người dùng sẽ bị lừa đồng ý với bản sao mà ứng dụng cần để chạy bình thường. Hành vi yêu cầu ủy quyền ở đây khá đáng ngờ. Là một ứng dụng liên quan đến blockchain, hoạt động bình thường của nó không có kết nối cần thiết với quyền của album ảnh. Yêu cầu này rõ ràng vượt quá các yêu cầu thông thường để ứng dụng chạy.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Trên Android, trước tiên bạn cũng cần xác định và xin cấp quyền cho album ảnh.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

4) Thu thập và đọc các tập tin album

Sau đó đọc hình ảnh và video trong androidDoingUp và đóng gói chúng.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

5) Tải lên các tập tin album

Cuối cùng, tải tệp lên trong uploadBinFa(), uploadZipBinFa() và uploadDigui(). Bạn có thể thấy rằng đường dẫn giao diện tải lên cũng là một chuỗi ký tự ngẫu nhiên.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Quá trình iOS cũng tương tự. Sau khi có được quyền, iOS bắt đầu thu thập nội dung đã tải lên thông qua getScreeshotAndShouchang().

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

6) Giao diện tải lên

Tên miền commonUrl trong URL được báo cáo xuất phát từ giao diện /api/bf 9023/c 99.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Miền của giao diện này xuất phát từ bộ nhớ đệm cục bộ của uniapp.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Không tìm thấy mã để ghi vào bộ nhớ đệm. Mã này có thể đã được mã hóa và làm tối nghĩa và tồn tại trong app-confusion.js. Tên miền đã được nhìn thấy trong bộ nhớ đệm ứng dụng trong quá trình chạy lịch sử.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

2. Phân tích tài trợ trên chuỗi (SlowMist)

Theo phân tích của MistTrack, một công cụ theo dõi trên chuỗi và chống rửa tiền theo SlowMist AML, địa chỉ trộm tiền chính hiện tại (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) đã đánh cắp tiền của ít nhất 13.000 người dùng và thu được lợi nhuận hơn 1,82 triệu đô la Mỹ.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

(https://dune.com/queries/4721460)

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Giao dịch đầu tiên của địa chỉ 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab diễn ra vào ngày 12 tháng 2 năm 2025 và 0,001 BNB đã được chuyển từ địa chỉ 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35 làm vốn ban đầu:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Khi phân tích địa chỉ 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35, giao dịch đầu tiên của địa chỉ này cũng xuất hiện vào ngày 12 tháng 2 năm 2025. Khoản tiền ban đầu của giao dịch này đến từ địa chỉ 0x71552085c854EeF431EE55Da5B024F9d845EC976 được MistTrack đánh dấu là Khóa riêng bị đánh cắp:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Tiếp tục phân tích dòng tiền của địa chỉ tin tặc ban đầu 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab:

BSC: Lợi nhuận khoảng 37.000 đô la, bao gồm USDC, USDT, WBTC và các loại tiền tệ khác, thường sử dụng PancakeSwap để đổi một số mã thông báo lấy BNB:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Số dư địa chỉ hiện tại là 611 BNB và các token có giá trị khoảng 120.000 đô la, chẳng hạn như USDT, DOGE và FIL.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Ethereum: Lợi nhuận khoảng 280.000 đô la, phần lớn đến từ ETH được chuyển từ các chuỗi khác. Sau đó, 100 ETH được chuyển đến 0x7438666a4f60c4eedc471fa679a43d8660b856e0. Địa chỉ này cũng nhận được 160 ETH được chuyển từ địa chỉ trên 0x71552085c854EeF431EE55Da5B024F9d845EC976. Tổng cộng 260 ETH vẫn chưa được chuyển ra.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Polygon: Lợi nhuận khoảng 37.000 hoặc 65.000 đô la Mỹ, bao gồm WBTC, SAND, STG và các loại tiền tệ khác. Hầu hết các mã thông báo đã được đổi thành 66.986 POL thông qua OKX-DEX. Số dư hiện tại của địa chỉ tin tặc như sau:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Arbitrum: Lợi nhuận khoảng 37.000 đô la, bao gồm USDC, USDT, WBTC và các loại tiền tệ khác, token được chuyển đổi thành ETH, tổng cộng 14 ETH chuỗi chéo sang Ethereum thông qua OKX-DEX:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Cơ sở: Lợi nhuận khoảng 12.000 đô la, bao gồm FLOCK, USDT, MOLLY và các loại tiền tệ khác, mã thông báo được chuyển đổi thành ETH, tổng cộng 4,5 ETH chuỗi chéo sang Ethereum thông qua OKX-DEX:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Các chuỗi còn lại sẽ không được mô tả chi tiết. Chúng tôi cũng đã tiến hành phân tích ngắn gọn về một địa chỉ tin tặc khác do nạn nhân cung cấp.

Giao dịch đầu tiên của địa chỉ tin tặc 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 xuất hiện vào ngày 13 tháng 2 năm 2025, với lợi nhuận khoảng 650.000 đô la Mỹ, liên quan đến nhiều chuỗi và USDT có liên quan đã được chuyển chuỗi chéo đến địa chỉ TRON TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx:

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Địa chỉ TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx đã nhận được tổng cộng 703.119,2422 USDT, với số dư là 288.169,2422 USDT, trong đó 83.000 USDT đã được chuyển đến địa chỉ TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus và không được chuyển ra ngoài, và 331.950 USDT còn lại đã được chuyển đến địa chỉ THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz đã tương tác với Huionepay.

OKX  SlowMist cùng phát hành | Phần mềm độc hại Bom đã quét hàng chục nghìn người dùng và đánh cắp tài sản trị giá hơn 1,82 triệu đô la

Chúng tôi sẽ tiếp tục theo dõi các địa chỉ số dư có liên quan.

3. Khuyến nghị về an toàn

Để giúp người dùng nâng cao nhận thức về bảo vệ, nhóm SlowMist AML và nhóm bảo mật OKX Web3 đã biên soạn các khuyến nghị bảo mật sau:

1. Không bao giờ tải xuống phần mềm từ những nguồn không xác định (bao gồm cả cái gọi là công cụ lừa đảo và bất kỳ phần mềm nào từ những nhà xuất bản không xác định).

2. Không bao giờ tin vào các liên kết tải xuống phần mềm do bạn bè hoặc cộng đồng giới thiệu, hãy luôn tải xuống từ các kênh chính thức.

3. Tải xuống và cài đặt ứng dụng từ các kênh thông thường, bao gồm Google Play, App Store và các cửa hàng ứng dụng chính thức lớn.

4. Lưu giữ các ghi nhớ đúng cách. Không lưu chúng bằng cách chụp ảnh màn hình, chụp ảnh hoặc sử dụng sổ ghi chép hoặc ổ đĩa đám mây. Ứng dụng di động ví OKX đã cấm ảnh chụp màn hình khóa riêng tư và các trang cụm từ ghi nhớ.

5. Sử dụng các phương pháp vật lý để lưu thông tin ghi nhớ, chẳng hạn như sao chép chúng ra giấy, lưu trữ chúng trong ví phần cứng, lưu trữ phân đoạn (chia nhỏ thông tin ghi nhớ/khóa riêng và lưu trữ chúng ở các vị trí khác nhau), v.v.

6. Thay đổi ví thường xuyên. Nếu có thể, việc thay đổi ví thường xuyên có thể giúp loại bỏ các rủi ro bảo mật tiềm ẩn.

7. Sử dụng các công cụ theo dõi chuyên nghiệp trên chuỗi, chẳng hạn như MistTrack (https://misttrack.io/), để giám sát và phân tích tiền, giảm rủi ro gian lận hoặc lừa đảo và bảo vệ an ninh tài sản tốt hơn.

8. Bạn nên đọc Sổ tay hướng dẫn tự cứu Blockchain Dark Forest do Yu Xian, người sáng lập SlowMist, viết.

Tuyên bố miễn trừ trách nhiệm

Nội dung này chỉ nhằm mục đích cung cấp thông tin và không cấu thành và không được hiểu là (i) lời khuyên hoặc khuyến nghị đầu tư, (ii) lời đề nghị hoặc chào mời mua, bán hoặc nắm giữ tài sản kỹ thuật số hoặc (iii) lời khuyên về tài chính, kế toán, pháp lý hoặc thuế. Chúng tôi không đảm bảo tính chính xác, đầy đủ hoặc hữu ích của những thông tin đó. Tài sản kỹ thuật số (bao gồm cả stablecoin và NFT) chịu sự biến động của thị trường, có rủi ro cao và có thể mất giá trị hoặc thậm chí trở nên vô giá trị. Bạn nên cân nhắc cẩn thận xem việc giao dịch hay nắm giữ tài sản kỹ thuật số có phù hợp với mình hay không dựa trên tình hình tài chính và khả năng chịu rủi ro của bạn. Vui lòng tham khảo chuyên gia pháp lý/thuế/đầu tư về tình hình cụ thể của bạn. Không phải tất cả sản phẩm đều có sẵn ở mọi khu vực. Để biết thêm chi tiết, vui lòng tham khảo Điều khoản dịch vụ và Tuyên bố miễn trừ rủi ro của OKX. Ví di động OKX Web3 và các dịch vụ phái sinh của nó phải tuân theo các điều khoản dịch vụ riêng. Xin hãy chịu trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương.

Bài viết gốc, tác giả:欧易OKX。Tuyển dụng: Nhân viên kinh doanh phần mềm theo dự án report@odaily.email;Vi phạm quy định của pháp luật.

Odaily nhắc nhở, mời đông đảo độc giả xây dựng quan niệm đúng đắn về tiền tệ và khái niệm đầu tư, nhìn nhận hợp lý về blockchain, nâng cao nhận thức về rủi ro; Đối với manh mối phạm tội phát hiện, có thể tích cực tố cáo phản ánh với cơ quan hữu quan.

Đọc nhiều nhất
Lựa chọn của người biên tập