OKX SlowMist 联合发布｜Bom恶意软件席卷上万用户 盗取资产超182万美元

2025年2月14日，多名用户集中反馈钱包资产被盗。经链上数据分析，被盗案例均符合助记词/私钥泄漏的特征。进一步回访受害用户后发现，他们大多曾安装并使用过一款名为BOM的应用。深入调查表明，该应用实为精心伪装的诈骗软件，不法分子通过该软件诱导用户授权后，*非*法获取助记词/私钥权限，进而实施系统性资产转移并隐匿。

一、恶意软件分析（OKX）

经过用户同意，OKXWeb3安全团队收集了部分用户手机上的BOM应用程序的apk文件进行分析，具体细节如下：

（一）结论

1.该恶意app在进入合约页面后，以应用运行需要为由，欺骗用户授权本地文件以及相册权限。

2.获取用户授权后，该应用在后台扫描并收集设备相册中的媒体文件，打包并上传至服务端。如果用户文件或相册中有存储助记词、私钥相关信息，不法分子有可能利用该应用收集到的相关信息盗取用户钱包资产。

（二）分析过程

1、样本初步分析

1）应用签名分析

签名subject不规范，解析后为adminwkhvjv，是一堆没有意义的随机字符，正常应用一般为一段有意义的字母组合。

2）恶意权限分析

在该应用的AndroidManifest文件中可以看到，注册了大量权限。其中包含一些信息敏感的权限，包括读写本地文件、读取媒体文件、相册等。

2、动态分析

由于分析时app后端接口服务已下线，app无法正常运行，暂无法进行动态分析。

3、反编译分析

反编译后发现，该应用中dex中的类数量非常少，针对这些类进行了代码层面的静态分析。

其主要逻辑为解密一些文件，并加载application：

在assets目录下发现uniapp的产物文件，表明该app使用了跨平台框架uniapp进行开发：

在uniapp框架下开发的应用的主要逻辑在产物文件app-service.js中，部分关键代码被加密至app-confusion.js中，我们主要从app-service.js开始分析。

1）触发入口

在注册各个页面的入口处，找到了名为contract页面的入口

对应的函数index是6596

2）设备信息初始化上报

contract页面加载后的回调onLoad()会调用到doContract()

在doContract()中会调用initUploadData()

initUploadData()中，会先判断网络情况，同时也会判断图片和视频列表是否为空。最后调用回调e()

回调e()就是getAllAndIOS()，

3）检查和请求权限

这里在iOS中会先请求权限，并以应用正常运行需要的文案欺骗用户同意。这里的请求授权行为就比较可疑了，作为一个Blockchain相关的应用程序，它的正常运行和相册的权限没有必然的联系，这一请求明显超出应用运行的正常需求。

在Android上，同样先判断和申请相册权限。

4）收集读取相册文件

然后在androidDoingUp中读取图片和视频并打包。

5）上传相册文件

最后在uploadBinFa()、uploadZipBinFa()和uploadDigui()中进行上传，可以看到上传的接口path也是一段随机的字符。

iOS流程类似，获取权限之后，iOS上通过getScreeshotAndShouchang()开始收集上传的内容。

6）上传接口

上报url中的commonUrl域名来自/api/bf9023/c99so接口的返回。

该接口的domain来自uniapp的本地缓存。

未找到写入缓存的代码，可能被加密混淆后存在于app-confusion.js中，在一次历史运行时于应用缓存中看到该domain。

二、链上资金分析（SlowMist）

据SlowMistAML旗下的链上追踪和反*洗*钱工具MistTrack分析，目前主要盗币地址(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)已盗取至少1.3万名用户的资金，获利超182万美元。

（https://dune.com/queries/4721460）

分析地址0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35，该地址首笔交易也出现在2025年2月12日，其初始资金来自被MistTrack标记为“Theft-盗取私钥”的地址0x71552085c854EeF431EE55Da5B024F9d845EC976：

继续分析初始黑客地址0x49aDd3E8329f2A2f507238b0A684d03EAE205aab的资金流向：

BSC：获利约3.7万美元，包括USDC,USDT,WBTC等币种，常使用PancakeSwap将部分Tokens换为BNB：

目前地址余额611BNB和价值约12万美元的Tokens，如USDT,DOGE,FIL。

Ethereum：获利约28万美元，大部分来自其他链跨链转入的ETH，接着转移100ETH到0x7438666a4f60c4eedc471fa679a43d8660b856e0，该地址还收到了上述地址0x71552085c854EeF431EE55Da5B024F9d845EC976转入的160ETH，共260ETH暂未转出。

Polygon：获利约3.7or6.5万美元，包括WBTC,SAND,STG等币种，大部分Tokens已通过OKX-DEX兑换为66,986POL，目前黑客地址余额如下：

Arbitrum：获利约3.7万美元，包括USDC,USDT,WBTC等币种，Tokens兑换为ETH，共14ETH通过OKX-DEX跨链到Ethereum：

Base：获利约1.2万美元，包括FLOCK,USDT,MOLLY等币种，Tokens兑换为ETH，共4.5ETH通过OKX-DEX跨链到Ethereum：

其余链不再赘述。我们还对受害者提供的另一个黑客地址做了简单分析。

黑客地址0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0首笔交易出现在2025年2月13日，获利约65万美元，涉及多条链，相关USDT均跨链到TRON地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx：

地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx共收到703,119.2422USDT，余额为288,169.2422USDT，其中83,000USDT转到地址TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus未转出，剩余331,950USDT转到曾与Huionepay交互过的地址THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。

我们将对相关余额地址保持监控。三、安全建议

为帮助用户提高防护意识，SlowMistAML团队与OKXWeb3安全团队整理了以下安全建议：

1.切勿下载来源不明的软件（包括所谓的“薅羊毛工具”，以及任何发行方不明的软件）。

2.切勿听信朋友、社群中推荐的软件下载链接，认准官方渠道下载。

3.从正规渠道下载安装App，主要渠道有GooglePlay、AppStore以及各大官方应用商店。

4.妥善保存助记词，切勿使用截图、拍照、记事本、云盘等保存方式。OKX钱包移动端已经禁止私钥和助记词页面的截图。

5.使用物理方式保存助记词，如抄写在纸上、保存在硬件钱包、分段存储（将助记词/私钥拆分，存储在不同的位置）等。

6.定期更换钱包，有条件定期更换钱包有助于消除潜在安全风险。

7.借助专业的链上追踪工具，如MistTrack(https://misttrack.io/)，对资金进行监控和分析，降低遭遇诈骗或钓鱼事件的风险，更好地保障资产安全。

8.强烈推荐阅读由SlowMist创始人余弦撰写的《Blockchain黑暗森林自救手册》。

免责声明

此内容仅供参考，不构成也不应被视为(i)投资建议或推荐，(ii)购买、出售或持有数字资产的要约或招揽，或(iii)财务、会计、法律或税务建议。我们不保证该等信息的准确性、完整性或有用性。数字资产（包括稳定币和NFT）会受到市场波动的影响，涉及高风险，可能会贬值，甚至变得毫无价值。您应根据自己的财务状况和风险承受能力，仔细考虑交易或持有数字资产是否适合您。有关您的具体情况，请咨询您的法律/税务/投资专业人士。并非所有产品都在所有地区提供。更多详情，请参阅OKX服务条款和风险披露&免责声明。OKXWeb3移动钱包及其衍生服务受单独的服务条款约束。请您自行负责了解和遵守当地的有关适用法律和法规。