Мошенническое ПО BOM украло более 1,82 миллиона долларов у пользователей криптовалютных кошельков

Мошенническое программное обеспечение BOM украло у пользователей более 1,82 миллиона долларов: SlowMist

План массового преступления в мире криптовалют был выявлен после того, как различные пользователи сообщили о несанкционированном доступе к своим кошелькам 14 февраля 2025 года.

Безопасные фирмы SlowMist и OKX выпустили совместный отчет, в котором указали, что за атаками стоит злонамеренное приложение под названием BOM.

Исследование установило, что BOM было создано для обмана пользователей с целью получения доступа к их фотогалерее и локальному хранилищу. После предоставления разрешений приложение тайно сканировало скриншоты или фотографии с мнемоническими фразами кошельков или частными ключами. Последние были отправлены на серверы злоумышленников.

По данным MistTrack, вредоносное ПО затронуло как минимум 13 000 пользователей, а общая сумма украденных средств составила более 1,82 миллиона долларов. Злоумышленники переводили средства по различным блокчейнам, таким как Ethereum, BSC, Polygon, Arbitrum и Base, чтобы скрыть свои действия.

Анализ безопасности команды OKX Web3 показал, что приложение было создано с использованием кроссплатформенного фреймворка UniApp. Эта архитектура была разработана для извлечения конфиденциальных данных. BOM запрашивало разрешение на доступ к галерее фото и локальным файлам при установке. Приложение вводило пользователей в заблуждение, утверждая, что разрешения необходимы для нормальной работы.

Декомпиляция приложения раскрыла, что его основной целью было извлечение и загрузка информации пользователей. Когда пользователи посещали страницу контракта в приложении, они активировали функции, которые сканировали и собирали медиафайлы из хранилища устройства. Эти файлы упаковывались и загружались на удаленный сервер, управляемый преступниками.

Код приложения имел функции, такие как «androidDoingUp» и «uploadBinFa», чья единственная цель заключалась в загрузке изображений и видео с устройства и их отправке злоумышленникам. URL для отчетности использовал домен, полученный из локального кэша приложения; поэтому пользователям было сложно отследить, куда уходили их данные.

Мошенническое приложение также имело аномальную подпись с произвольными буквами («adminwkhvjv») вместо привычных для подлинных приложений осмысленных символов. Этот аспект также подтверждал мошеннический характер приложения.

Анализ украденных средств показывает перемещение средств по нескольким сетям. Основной адрес кражи инициировал свою первую транзакцию 12 февраля 2025 года, получив 0,001 BNB с другого адреса.

На цепочке BSC злоумышленники получили около 37 000 долларов прибыли, в основном в USDC, USDT и WBTC. Хакеры часто использовали PancakeSwap для обмена различных токенов на BNB. В настоящее время на этом адресе находится 611 BNB и около 120 000 долларов в токенах, таких как USDT, DOGE и FIL.

На сети Ethereum произошло наибольшее количество краж, составившее около 280 000 долларов. Большая часть этих средств поступила от кросс-цепных переводов ETH из других сетей. Злоумышленники внесли 100 ETH на резервный адрес, на который было переведено 160 ETH из другого подключенного адреса. В целом на этом адресе хранится 260 ETH без дополнительных движений.

На Polygon злоумышленники получили около 65 000 долларов в токенах, включая WBTC, SAND и STG. Большая часть этих средств была обменена на OKX-DEX на почти 67 000 POL. Дополнительные кражи были зафиксированы на Arbitrum (37 000 долларов) и Base (12 000 долларов), большинство токенов было обменяно на ETH и переведено на сеть Ethereum.