OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元

深入調查表明，該應用實為精心偽裝的詐騙軟件，不法分子通過該軟件誘導用戶授權後，非法獲取助記詞/私密金鑰許可權，進而實施系統性資產轉移並隱匿。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图1

2025年2月14日，多名用戶集中迴響錢包資產被盜。經鏈上資料分析，被盜案例均符合助記詞/私密金鑰洩漏的特徵。進一步回訪受害用戶後發現，他們大多曾安裝並使用過一款名為BOM的應用。深入調查表明，該應用實為精心偽裝的詐騙軟件，不法分子通過該軟件誘導用戶授權後，非法獲取助記詞/私密金鑰許可權，進而實施系統性資產轉移並隱匿。囙此，SlowMist AML團隊和OKX Web3安全團隊對該惡意軟件的作案手法進行調查和披露，並進行鏈上追跡分析，希望給更多用戶提供安全警示與建議。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图3

一、惡意軟件分析（OKX）

經過用戶同意，OKX Web3安全團隊收集了部分用戶手機上的BOM應用程序的apk檔案進行分析，具體細節如下：

（一）結論

1.該惡意app在進入合約頁面後，以應用運行需要為由，欺騙用戶授權本地檔案以及相册許可權。

2.獲取用戶授權後，該應用在後臺掃描並收集設備相册中的媒體檔案，打包並上傳至服務端。如果用戶檔案或相册中有存儲助記詞、私密金鑰相關資訊，不法分子有可能利用該應用收集到的相關資訊盜取用戶錢包資產。

（二）分析過程

1、樣本初步分析

1）應用簽名分析

簽名subject不規範，解析後為adminwkhvjv，是一堆沒有意義的隨機字元，正常應用一般為一段有意義的字母組合。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图5

2）惡意許可權分析

在該應用的AndroidManifest檔案中可以看到，注册了大量許可權。其中包含一些資訊敏感的許可權，包括讀寫本地檔案、讀取媒體檔案、相册等。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图7

2、動態分析

由於分析時app後端介面服務已下線，app無法正常運行，暫無法進行動態分析。

3、反編譯分析

反編譯後發現，該應用中dex中的類數量非常少，針對這些類進行了程式碼層面的靜態分析。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图9

其主要邏輯為解密一些檔案，並加載application：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图11

在assets目錄下發現uniapp的產物檔案，表明該app使用了跨平臺框架uniapp進行開發：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图13

在uniapp框架下開發的應用的主要邏輯在產物檔案app-service.js中，部分關鍵程式碼被加密至app-confusion.js中，我們主要從app-service.js開始分析。

1）觸發入口

在注册各個頁面的入口處，找到了名為contract頁面的入口

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图15

對應的函數index是6596

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图17

2）設備資訊初始化上報

contract頁面加載後的回檔onLoad（）會調用到doContract（）

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图19

在doContract（）中會調用initUploadData（）

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图21

initUploadData（）中，會先判斷網絡情况，同時也會判斷圖片和視頻清單是否為空。最後調用回檔e（）

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图23

回檔e（）就是getAllAndIOS（），

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图25

3）檢查和請求許可權

這裡在iOS中會先請求許可權，並以應用正常運行需要的文案欺騙用戶同意。這裡的請求授權行為就比較可疑了，作為一個區塊鏈相關的應用程序，它的正常運行和相册的許可權沒有必然的聯系，這一請求明顯超出應用運行的正常需求。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图27

在Android上，同樣先判斷和申請相册許可權。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图29

4）收集讀取相册檔案

然後在androidDoingUp中讀取圖片和視頻並打包。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图31

5）上傳相册檔案

最後在uploadBinFa（）、uploadZipBinFa（）和uploadDigui（）中進行上傳，可以看到上傳的介面path也是一段隨機的字元。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图33

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图35

iOS流程類似，獲取許可權之後，iOS上通過getScreeshotAndShouchang（）開始收集上傳的內容。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图37

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图39

6）上傳介面

上報url中的commonUrl功能變數名稱來自/api/bf9023/c99so介面的返回。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图41

該介面的domain來自uniapp的本地緩存。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图43

未找到寫入緩存的程式碼，可能被加密混淆後存在於app-confusion.js中，在一次歷史運行時於應用緩存中看到該domain。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图45

二、鏈上資金分析（SlowMist）

據SlowMist AML旗下的鏈上追跡和反洗錢工具MistTrack分析，現時主要盜幣地址（0x49aDd3E8329f2A2f507238b0A684d03EAE205aab）已盜取至少1.3萬名用戶的資金，獲利超182萬美元。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图47

（ https://dune.com/queries/4721460 ）

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图49

該地址0x49aDd3E8329f2A2f507238b0A684d03EAE205aab首筆交易出現在2025年2月12日，由地址0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35轉入0.001 BNB作為初始資金：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图51

分析地址0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35，該地址首筆交易也出現在2025年2月12日，其初始資金來自被MistTrack標記為&ldquo； Theft-盜取私密金鑰&rdquo；的地址0x71552085c854EeF431EE55Da5B024F9d845EC976：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图53

繼續分析初始駭客地址0x49aDd3E8329f2A2f507238b0A684d03EAE205aab的資金流向：

BSC：獲利約3.7萬美元，包括USDC， USDT，WBTC等幣種，常使用PancakeSwap將部分代幣換為BNB：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图55

現時地址餘額611 BNB和價值約12萬美元的代幣，如USDT， DOGE, FIL。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图57

Ethereum：獲利約28萬美元，大部分來自其他鏈跨鏈轉入的ETH，接著轉移100 ETH到0x7438666a4f60c4eedc471fa679a43d8660b856e0，該地址還收到了上述地址0x71552085c854EeF431EE55Da5B024F9d845EC976轉入的160 ETH，共260 ETH暫未轉出。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图59

Polygon：獲利約3.7 or 6.5萬美元，包括WBTC， SAND，STG等幣種，大部分代幣已通過OKX-DEX兌換為66986 POL，現時駭客地址餘額如下：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图61

Arbitrum：獲利約3.7萬美元，包括USDC， USDT，WBTC等幣種，代幣兌換為ETH，共14 ETH通過OKX-DEX跨鏈到Ethereum：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图63

Base：獲利約1.2萬美元，包括FLOCK， USDT，MOLLY等幣種，代幣兌換為ETH，共4.5 ETH通過OKX-DEX跨鏈到Ethereum：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图65

其餘鏈不再贅述。我們還對受害者提供的另一個駭客地址做了簡單分析。

駭客地址0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0首筆交易出現在2025年2月13日，獲利約65萬美元，涉及多條鏈，相關USDT均跨鏈到TRON地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx：

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图67

地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx共收到703119.2422 USDT，餘額為288169.2422 USDT，其中83000 USDT轉到地址TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus未轉出，剩餘331950 USDT轉到曾與Huionepay互動過的地址THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。

OKX & SlowMist聯合發佈｜Bom惡意軟件席捲上萬用戶，盜取資產超182萬美元插图69

我們將對相關餘額地址保持監控。

三、安全建議

為幫助用戶提高防護意識，SlowMist AML團隊與OKX Web3安全團隊整理了以下安全建議：

1.切勿下載來源不明的軟件（包括所謂的&ldquo；薅羊毛工具&rdquo；，以及任何發行方不明的軟件）。

2.切勿聽信朋友、社群中推薦的軟體下載連結，認准官方通路下載。

3.從正規管道下載安裝App，主要通路有Google Play、App Store以及各大官方應用商店。

4.妥善保存助記詞，切勿使用截圖、拍照、記事本、雲盤等保存管道。 OKX錢包移動端已經禁止私密金鑰和助記詞頁面的截圖。

5.使用物理管道保存助記詞，如抄寫在紙上、保存在硬體錢包、分段存儲（將助記詞/私密金鑰折開，存儲在不同的位置）等。

6.定期更換錢包，有條件定期更換錢包有助於消除潜在安全風險。

7.借助專業的鏈上追跡工具，如MistTrack（ https://misttrack.io/ ），對資金進行監控和分析，降低遭遇詐騙或釣魚事件的風險，更好地保障資產安全。

8.強烈推薦閱讀由SlowMist創始人余弦撰寫的《區塊鏈黑暗森林自救手册》。

免責聲明

此內容僅供參考，不構成也不應被視為（i）投資建議或推薦，（ii）購買、出售或持有數位資產的要約或招攬，或（iii）財務、會計、法律或稅務建議。我們不保證該等資訊的準確性、完整性或有用性。數位資產（包括穩定幣和NFT）會受到市場波動的影響，涉及高風險，可能會貶值，甚至變得毫無價值。您應根據自己的財務狀況和風險承受能力，仔細考慮交易或持有數位資產是否適合您。有關您的具體情況，請諮詢您的法律/稅務/投資專業人士。並非所有產品都在所有地區提供。更多詳情，請參閱OKX服務條款和風險披露&amp；免責聲明。 OKX Web3移動錢包及其衍生服務受單獨的服務條款約束。請您自行負責瞭解和遵守當地的有關適用法律和法規。

歡迎加入深潮TechFlow官方社群

Telegram訂閱群： https://www.gushiio.com/TechFlowDaily

Twitter官方帳號： https://www.gushiio.com/TechFlowPost

Twitter英文账号：https://www.gushiio.com/DeFlow_Intern

原文網址：https://zh.gushiio.com/zixun/3050.html