Web3世界正在不斷演變。而隨著這種演變,社區也在面臨全新和復雜的威脅,其中一個威脅便是假錢包的氾濫。這些假錢包對Web3社區來說是一個持續且十分令人困擾的問題,需要專門進行研究才能識別並揭露它們。
CertiK 最近發現了一個有組織的詐騙集團,該集團組織利用部署的假錢包,以欺騙用戶來竊取用戶資產。由於該團體使用的特殊逃逸性反取證功能較為罕見,因此我們將其命名為BombFlower。
由於該集團組織使用了檢測逃逸技術,這些假錢包移動應用程序很可能會被主流的惡意軟件檢測工具所忽略。
在此文中,CertiK 的安全專家為大家簡單介紹了該團體的行為及CertiK 為識別和揭露他們所採取的措施。希望這篇文章能夠為Web3社區提供有價值的見解,以幫助他們在面臨相關威脅時保證安全。
BombFlower 打造真假美猴王
作為研究工作的一部分,CertiK 專家團隊一直在跟踪BombFlower 組織部署的假錢包。
圖片描述
圖片描述
被BombFlower 假冒的知名錢包及時間軸
BombFlower 通常將他們的假錢包設計的與原版合法錢包非常相似。
圖片描述
圖片描述
BombFlower 的釣魚網站看起來與官方網站幾乎無異
BombFlower 後門技術細節
假錢包一直是web3社區所面臨的一個持續威脅。大多數假錢包後門都可以入侵助記符生成功能,比如直接將惡意代碼注入錢包的javascript 代碼(如index.android.bundle)或smali 代碼中。
曾有人對SeaFlower 的研究,就提供了關於這種類型後門的大量細節。
圖片描述
圖片描述
圖片描述
圖片描述
圖片描述
圖片描述
助記詞被上傳到反屏蔽應用程序的服務器上
然而這些只是對BombFlower 假錢包一些獨特後門進行的簡要總結。
在CertiK 的研究中,專家們還發現這些被植入木馬的移動應用程序中蘊含了多種複雜的異常行為。在本文中,我們只講述該家族的主要突出特點。
BombFlower“獨門秘籍”
ZipBomb 反偵察“壓縮炸彈”💣
BombFlower 集團因其使用的一種獨特“反偵查取證”技術而引人注目,該“獨門秘籍”被稱為“ZipBomb”(壓縮炸彈),並被用來躲避研究人員的檢測和分析。
圖片描述
圖片描述
ZipBomb 炸彈效果
由於採用了這種技術,BombFlower 的木馬化文件往往能躲過市面上大多數的病毒掃描器的掃描,VirusTotal 網站上顯示的低檢測率甚至是零檢測率也說明了這一點。
圖片描述
圖片描述
圖片描述
該木馬的常規APK 分析結果
這種技術不僅獨特,而且極具“反偵察性”,使研究人員難以追踪該組織的活動。這也是CertiK 專家將該組織命名為BombFlower 的原因之一。
BombFlower 主機和後端
BombFlower 組織在他們的假錢包活動中使用了各種雲供應商,而這種特徵也較為知名。根據CertiK 專家觀察,該組織使用了不同的供應商來託管後端服務器(位於香港和英國),在多樣化其基礎設的同時,也使得研究人員更難以追踪他們的活動。
圖片描述
圖片描述
BombFlower 可視化主機和後端基礎設施
CertiK 還通過識別不同活動中的多個共享特徵,將這些假錢包與BombFlower 集團聯繫了起來。這些共同特徵包括:共享域名、託管基礎設施(如上圖所示),相對獨特的“反偵察”技術(如ZipBomb),以及在後門使用相似的Hook 鉤子技術(ddhooker java 包)。
假錢包的SEO
假錢包攻擊者經常採用搜索引擎優化(SEO)戰術,操縱搜索引擎結果,使其假網站出現在用戶搜索結果的頂部。
其中最常見且簡單的策略是購買與錢包相關的關鍵詞,以提高其假網站的排名並迷惑用戶。排名在前,用戶自然更有可能點擊他們的假網站。
圖片描述
圖片描述
谷歌搜索出的真錢包VS 假錢包結果
對Web3社區來說,重要的是了解這些犯罪組織的活動方式,並在網上搜索錢包時時刻保持警惕。
CertiK 在此建議用戶在使用官方網站、下載或使用任何錢包之前,都要檢查網站的真實性。比如:檢查該錢包的評論和信息,並對任何出現在搜索引擎結果頂部的網站保持謹慎——因為它們可能已經被假錢包攻擊者操縱。
總結及安全專家建議
CertiK 專家團隊識別了BombFlower 這個有組織的犯罪集團,同時也發現了該集團正在積極部署假錢包來欺騙用戶。
該團夥使用了逃避性的反取證技術,使研究人員難以跟踪他們的活動,也使惡意軟件檢測器難以識別他們的假錢包。獨特的手段相較於其他犯罪集團更容易“脫穎而出”。
專家團隊不僅分析了該組織的時間線和使用的後門技術,同時也從這個假錢包家族中發現了規避性的後門行為。而本文僅涉及了該家族主要突出特點。後續,我們將繼續監測和跟踪該犯罪團夥,在更多文章中披露這個假錢包惡意軟件家族的其他異常行為,為Web3領域的安全帶來更多分析和見解。
