Vào ngày 14 tháng 2 năm 2025, nhiều người dùng đã báo cáo rằng tài sản trong ví của họ đã bị đánh cắp. Sau khi phân tích dữ liệu trên chuỗi, tất cả các trường hợp trộm cắp đều đáp ứng các đặc điểm của rò rỉ cụm từ ghi nhớ/khóa riêng. Các cuộc kiểm tra tiếp theo đối với những người dùng bị hại cho thấy hầu hết họ đã cài đặt và sử dụng một ứng dụng có tên là BOM. Các cuộc điều tra chuyên sâu đã chỉ ra rằng ứng dụng này thực chất là một phần mềm lừa đảo được ngụy trang cẩn thận. Tội phạm sử dụng phần mềm để dụ người dùng ủy quyền, lấy quyền ghi nhớ/khóa riêng tư một cách bất hợp pháp, sau đó thực hiện chuyển giao tài sản có hệ thống và che giấu. Do đó, nhóm AML SlowMist và nhóm bảo mật OKX Web3 đã điều tra và tiết lộ cách thức hoạt động của phần mềm độc hại và tiến hành phân tích theo dõi trên chuỗi, với hy vọng cung cấp cho nhiều người dùng hơn các cảnh báo và đề xuất bảo mật.
1. Phân tích phần mềm độc hại (OKX)
Với sự đồng ý của người dùng, nhóm bảo mật OKX Web3 đã thu thập các tệp apk của ứng dụng BOM trên điện thoại của một số người dùng để phân tích. Chi tiết như sau:
1. Kết luận
1. Sau khi vào trang hợp đồng, ứng dụng độc hại sẽ lừa người dùng cấp quyền truy cập tệp và album cục bộ với lý do rằng điều này là cần thiết để ứng dụng chạy.
2. Sau khi nhận được sự cho phép của người dùng, ứng dụng sẽ quét và thu thập các tệp phương tiện trong album ảnh của thiết bị ở chế độ nền, đóng gói chúng và tải lên máy chủ. Nếu tệp hoặc album ảnh của người dùng chứa thông tin liên quan đến khóa riêng tư hoặc ký tự ghi nhớ, tội phạm có thể sử dụng thông tin liên quan do ứng dụng thu thập để đánh cắp tài sản trong ví của người dùng.
2. Quá trình phân tích
1. Phân tích sơ bộ mẫu
1) Phân tích chữ ký ứng dụng
Chủ thể chữ ký không được chuẩn hóa. Sau khi phân tích, nó là adminwkhvjv, là một nhóm các ký tự ngẫu nhiên vô nghĩa. Các ứng dụng thông thường thường sử dụng một tổ hợp các chữ cái có ý nghĩa.
2) Phân tích quyền độc hại
Như bạn có thể thấy trong tệp AndroidManifest của ứng dụng, một số lượng lớn quyền đã được đăng ký. Nó chứa một số quyền nhạy cảm về thông tin, bao gồm đọc và ghi tệp cục bộ, đọc tệp phương tiện, album, v.v.
2. Phân tích động
Do dịch vụ giao diện phụ trợ của ứng dụng ngoại tuyến trong quá trình phân tích nên ứng dụng không thể chạy bình thường và không thể thực hiện phân tích động trong thời điểm hiện tại.
3. Phân tích giải biên dịch
Sau khi dịch ngược, chúng tôi thấy rằng số lượng lớp trong dex của ứng dụng này rất ít và chúng tôi đã tiến hành phân tích tĩnh trên các lớp này ở cấp độ mã.
Logic chính của nó là giải mã một số tập tin và tải ứng dụng:
Các tập tin sản phẩm của uniapp nằm trong thư mục tài sản, cho biết ứng dụng được phát triển bằng cách sử dụng khuôn khổ đa nền tảng uniapp:
Logic chính của ứng dụng được phát triển theo khuôn khổ uniapp nằm trong tệp sản phẩm app-service.js. Một số mã khóa được mã hóa trong app-confusion.js. Chúng tôi chủ yếu bắt đầu phân tích từ app-service.js.
1) Kích hoạt mục nhập
Ở lối vào của mỗi trang đăng ký, tôi thấy lối vào được gọi là trang hợp đồng
Chỉ số chức năng tương ứng là 6596
2) Báo cáo khởi tạo thông tin thiết bị
Hàm gọi lại onLoad() sau khi trang hợp đồng được tải sẽ gọi doContract()
initUploadData() được gọi trong doContract()
Trong initUploadData(), trạng thái mạng sẽ được kiểm tra trước tiên và danh sách hình ảnh và video có trống hay không cũng sẽ được kiểm tra. Cuối cùng, hàm gọi lại e() được gọi
Gọi lại e() là getAllAndIOS(),
3) Kiểm tra và yêu cầu cấp quyền
Ở đây, trong iOS, trước tiên, quyền sẽ được yêu cầu và người dùng sẽ bị lừa đồng ý với bản sao mà ứng dụng cần để chạy bình thường. Hành vi yêu cầu ủy quyền ở đây khá đáng ngờ. Là một ứng dụng liên quan đến blockchain, hoạt động bình thường của nó không có kết nối cần thiết với quyền của album ảnh. Yêu cầu này rõ ràng vượt quá các yêu cầu thông thường để ứng dụng chạy.
Trên Android, trước tiên bạn cũng cần xác định và xin cấp quyền cho album ảnh.
4) Thu thập và đọc các tập tin album
Sau đó đọc hình ảnh và video trong androidDoingUp và đóng gói chúng.
5) Tải lên các tập tin album
Cuối cùng, tải tệp lên trong uploadBinFa(), uploadZipBinFa() và uploadDigui(). Bạn có thể thấy rằng đường dẫn giao diện tải lên cũng là một chuỗi ký tự ngẫu nhiên.
Quá trình iOS cũng tương tự. Sau khi có được quyền, iOS bắt đầu thu thập nội dung đã tải lên thông qua getScreeshotAndShouchang().
6) Giao diện tải lên
Tên miền commonUrl trong URL được báo cáo xuất phát từ giao diện /api/bf 9023/c 99.
Miền của giao diện này xuất phát từ bộ nhớ đệm cục bộ của uniapp.
Không tìm thấy mã để ghi vào bộ nhớ đệm. Mã này có thể đã được mã hóa và làm tối nghĩa và tồn tại trong app-confusion.js. Tên miền đã được nhìn thấy trong bộ nhớ đệm ứng dụng trong quá trình chạy lịch sử.
2. Phân tích tài trợ trên chuỗi (SlowMist)
Theo phân tích của MistTrack, một công cụ theo dõi trên chuỗi và chống rửa tiền theo SlowMist AML, địa chỉ trộm tiền chính hiện tại (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) đã đánh cắp tiền của ít nhất 13.000 người dùng và thu được lợi nhuận hơn 1,82 triệu đô la Mỹ.
(https://dune.com/queries/4721460)
Giao dịch đầu tiên của địa chỉ 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab diễn ra vào ngày 12 tháng 2 năm 2025 và 0,001 BNB đã được chuyển từ địa chỉ 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35 làm vốn ban đầu:
Khi phân tích địa chỉ 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35, giao dịch đầu tiên của địa chỉ này cũng xuất hiện vào ngày 12 tháng 2 năm 2025. Khoản tiền ban đầu của giao dịch này đến từ địa chỉ 0x71552085c854EeF431EE55Da5B024F9d845EC976 được MistTrack đánh dấu là Khóa riêng bị đánh cắp:
Tiếp tục phân tích dòng tiền của địa chỉ tin tặc ban đầu 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab:
BSC: Lợi nhuận khoảng 37.000 đô la, bao gồm USDC, USDT, WBTC và các loại tiền tệ khác, thường sử dụng PancakeSwap để đổi một số mã thông báo lấy BNB:
Số dư địa chỉ hiện tại là 611 BNB và các token có giá trị khoảng 120.000 đô la, chẳng hạn như USDT, DOGE và FIL.
Ethereum: Lợi nhuận khoảng 280.000 đô la, phần lớn đến từ ETH được chuyển từ các chuỗi khác. Sau đó, 100 ETH được chuyển đến 0x7438666a4f60c4eedc471fa679a43d8660b856e0. Địa chỉ này cũng nhận được 160 ETH được chuyển từ địa chỉ trên 0x71552085c854EeF431EE55Da5B024F9d845EC976. Tổng cộng 260 ETH vẫn chưa được chuyển ra.
Polygon: Lợi nhuận khoảng 37.000 hoặc 65.000 đô la Mỹ, bao gồm WBTC, SAND, STG và các loại tiền tệ khác. Hầu hết các mã thông báo đã được đổi thành 66.986 POL thông qua OKX-DEX. Số dư hiện tại của địa chỉ tin tặc như sau:
Arbitrum: Lợi nhuận khoảng 37.000 đô la, bao gồm USDC, USDT, WBTC và các loại tiền tệ khác, token được chuyển đổi thành ETH, tổng cộng 14 ETH chuỗi chéo sang Ethereum thông qua OKX-DEX:
Cơ sở: Lợi nhuận khoảng 12.000 đô la, bao gồm FLOCK, USDT, MOLLY và các loại tiền tệ khác, mã thông báo được chuyển đổi thành ETH, tổng cộng 4,5 ETH chuỗi chéo sang Ethereum thông qua OKX-DEX:
Các chuỗi còn lại sẽ không được mô tả chi tiết. Chúng tôi cũng đã tiến hành phân tích ngắn gọn về một địa chỉ tin tặc khác do nạn nhân cung cấp.
Giao dịch đầu tiên của địa chỉ tin tặc 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 xuất hiện vào ngày 13 tháng 2 năm 2025, với lợi nhuận khoảng 650.000 đô la Mỹ, liên quan đến nhiều chuỗi và USDT có liên quan đã được chuyển chuỗi chéo đến địa chỉ TRON TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx:
Địa chỉ TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx đã nhận được tổng cộng 703.119,2422 USDT, với số dư là 288.169,2422 USDT, trong đó 83.000 USDT đã được chuyển đến địa chỉ TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus và không được chuyển ra ngoài, và 331.950 USDT còn lại đã được chuyển đến địa chỉ THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz đã tương tác với Huionepay.
Chúng tôi sẽ tiếp tục theo dõi các địa chỉ số dư có liên quan.
3. Khuyến nghị về an toàn
Để giúp người dùng nâng cao nhận thức về bảo vệ, nhóm SlowMist AML và nhóm bảo mật OKX Web3 đã biên soạn các khuyến nghị bảo mật sau:
1. Không bao giờ tải xuống phần mềm từ những nguồn không xác định (bao gồm cả cái gọi là công cụ lừa đảo và bất kỳ phần mềm nào từ những nhà xuất bản không xác định).
2. Không bao giờ tin vào các liên kết tải xuống phần mềm do bạn bè hoặc cộng đồng giới thiệu, hãy luôn tải xuống từ các kênh chính thức.
3. Tải xuống và cài đặt ứng dụng từ các kênh thông thường, bao gồm Google Play, App Store và các cửa hàng ứng dụng chính thức lớn.
4. Lưu giữ các ghi nhớ đúng cách. Không lưu chúng bằng cách chụp ảnh màn hình, chụp ảnh hoặc sử dụng sổ ghi chép hoặc ổ đĩa đám mây. Ứng dụng di động ví OKX đã cấm ảnh chụp màn hình khóa riêng tư và các trang cụm từ ghi nhớ.
5. Sử dụng các phương pháp vật lý để lưu thông tin ghi nhớ, chẳng hạn như sao chép chúng ra giấy, lưu trữ chúng trong ví phần cứng, lưu trữ phân đoạn (chia nhỏ thông tin ghi nhớ/khóa riêng và lưu trữ chúng ở các vị trí khác nhau), v.v.
6. Thay đổi ví thường xuyên. Nếu có thể, việc thay đổi ví thường xuyên có thể giúp loại bỏ các rủi ro bảo mật tiềm ẩn.
7. Sử dụng các công cụ theo dõi chuyên nghiệp trên chuỗi, chẳng hạn như MistTrack (https://misttrack.io/), để giám sát và phân tích tiền, giảm rủi ro gian lận hoặc lừa đảo và bảo vệ an ninh tài sản tốt hơn.
8. Bạn nên đọc Sổ tay hướng dẫn tự cứu Blockchain Dark Forest do Yu Xian, người sáng lập SlowMist, viết.
Tuyên bố miễn trừ trách nhiệm
Nội dung này chỉ nhằm mục đích cung cấp thông tin và không cấu thành và không được hiểu là (i) lời khuyên hoặc khuyến nghị đầu tư, (ii) lời đề nghị hoặc chào mời mua, bán hoặc nắm giữ tài sản kỹ thuật số hoặc (iii) lời khuyên về tài chính, kế toán, pháp lý hoặc thuế. Chúng tôi không đảm bảo tính chính xác, đầy đủ hoặc hữu ích của những thông tin đó. Tài sản kỹ thuật số (bao gồm cả stablecoin và NFT) chịu sự biến động của thị trường, có rủi ro cao và có thể mất giá trị hoặc thậm chí trở nên vô giá trị. Bạn nên cân nhắc cẩn thận xem việc giao dịch hay nắm giữ tài sản kỹ thuật số có phù hợp với mình hay không dựa trên tình hình tài chính và khả năng chịu rủi ro của bạn. Vui lòng tham khảo chuyên gia pháp lý/thuế/đầu tư về tình hình cụ thể của bạn. Không phải tất cả sản phẩm đều có sẵn ở mọi khu vực. Để biết thêm chi tiết, vui lòng tham khảo Điều khoản dịch vụ và Tuyên bố miễn trừ rủi ro của OKX. Ví di động OKX Web3 và các dịch vụ phái sinh của nó phải tuân theo các điều khoản dịch vụ riêng. Xin hãy chịu trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương.
