BOM malware викрав понад $1.82 мільйона у користувачів через шкідливий додаток

BOM malware викрав у користувачів понад$1.82 мільйона: SlowMist

План масового крадіжки криптовалюти був виявлений після того, як різні користувачі повідомили про несанкціонований доступ до своїх гаманців 14 лютого 2025 року.

Секюріті-компаніїSlowMist таOKX опублікували спільний звіт, в якому йдеться про те, що застосунокBOM був відповідальний за атаки.

Дослідження показало, що BOM призначався для обману користувачів з метою отримання доступу до їхньої фотопам`яті та локального зберігання. Після надання дозволу, застосунок таємно сканував фотографії або знімки екрана з мнемонічними фразами гаманців або приватними ключами. Останні були відправлені на сервери зловмисників.

Згідно з данимиMistTrack, шкідливе програмне забезпечення безпосередньо вплинуло на не менше ніж13,000 користувачів, загальна сума вкрадених коштів склала понад$1.82 мільйона. Зловмисники переводили кошти на різних блокчейнах, таких якEthereum,BSC,Polygon,Arbitrum таBase, намагаючись приховати свої дії.

Аналіз даних шкідливого програмного забезпечення

Аналіз команди безпекиOKX Web3 показав, що застосунок було побудовано на основі кросплатформеного фреймворкуUniApp. Це була архітектура, розроблена для вилучення чутливих даних. BOM запитує дозвіл на доступ до фотогалереї пристрою та локальних файлів під час установки. Застосунок оманливо стверджує, що дозволи необхідні для нормальної роботи програми.

Декомпілікація застосунку виявила, що його основна мета полягала в отриманні та завантаженні інформації про користувачів. Коли користувачі відвідували сторінку контракту в додатку, вони активували функції, які сканували та збирали медіа-файли зі зберігання пристрою. Ці файли були упаковані та завантажені на віддалений сервер, що контролюється зловмисниками.

Код в додатку містив функції, такі як“androidDoingUp” та“uploadBinFa”, які мали єдину мету - завантажувати зображення та відео з пристрою та відправляти їх зловмисникам. URL звіту використовував домен, отриманий з локального кешу застосунку; отже, користувачам було нелегко відстежити призначення своїх даних.

Шахрайський застосунок також мав аномальний підпис з випадковими літерами (“adminwkhvjv”) замість значущих літер, звичайно використовуваних у справжніх застосунках. Цей аспект також установив додаток як шахрайський.

Аналіз крадіжки коштів на блокчейні

Аналіз даних про крадіжку показав потоки коштів на кількох мережах. Основна адреса крадіжки розпочала свою першу транзакцію 12 лютого 2025 року, отримавши0.001 BNB з адреси.

На мережіBSC зловмисники отримали близько$37,000 прибутку, в основному вUSDC,USDT іWBTC. Хакери часто використовувалиPancakeSwap для обміну різних токенів наBNB. На сьогодні ця адреса має611 BNB та приблизно$120,000 вартості токенів, таких якUSDT,DOGE іFIL.

На мережіEthereum сталося найбільше крадіжок, загальною втратою близько$280,000. Більшість цих коштів з`явилися внаслідок міжмережевих переказівETH з інших мереж. Зловмисники внесли100 ETH на резервну адресу, на яку було переведено160 ETH з іншої підключеної адреси. В загальному на цій адресі зберігається260 ETH без подальших рухів.

НаPolygon зловмисники отримали близько$65,000 токенів, включаючиWBTC,SAND іSTG. Більшість цих коштів обмінювалися наOKX-DEX на майже67,000 POL. Додаткова крадіжка була зафіксована наArbitrum ($37,000) іBase ($12,000), при цьому більшість токенів обмінювалися наETH та перекидалися на мережу Ethereum.