BOM恶意软件深度分析：伪装应用窃取助记词，超182万美元资产被盗

查找币:余老师 | 漏洞披露 | 2026-05-09 20:06 | 5 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 一、事件概述 2025年2月14日，查找币安全团队监测到多起用户钱包资产被盗事件。经链上数据分析，所有被盗案例均呈现助记词/私钥泄露的典型特征。通过回访受害用户，我们发现一个共同点：受害者均安装并使用了名为“BOM”的应用。深入调查确认，该应用是一款精心伪装的恶意软件，通过诱导用户授权，非法获取助记词/私钥权限，进而系统性转移和隐匿资产。截至分析时，主要盗币地址（0x49aDd3E8329f2A2f507238b0A684d03EAE205aab）已盗取至少182万美元资产，影响上万用户。查找币AML团队联合OKX Web3安全团队，对该恶意软件的作案手法进行完整披露，并提供安全防护建议。 ## 二、恶意软件技术分析经用户授权，我们收集了部分受害设备上的BOM应用APK文件，进行静态和反编译分析。关键发现如下： ### 2.1 核心结论 - **权限滥用**：该应用在进入合约页面后，以“应用正常运行需要”为由，欺骗用户授权本地文件及相册权限。 - **数据窃取**：获取授权后，应用在后台扫描设备相册中的媒体文件，打包上传至远程服务器。若用户相册中存储了助记词、私钥截图或相关文件，攻击者即可利用这些信息盗取资产。 ### 2.2 分析过程 #### 2.2.1 样本初步分析 **应用签名分析**：签名Subject解析后为 `adminwkhvjv`，这是一串无意义的随机字符。正规应用通常使用有意义的字母组合作为签名主体，此类异常签名是恶意软件的典型特征。 **恶意权限分析**：在AndroidManifest文件中，注册了大量敏感权限，包括： - 读写本地文件 - 读取媒体文件 - 访问相册 - 网络访问这些权限与区块链应用的正常功能无关，明显超出合理范围。 #### 2.2.2 动态分析分析期间，该应用后端接口服务已下线，应用无法正常运行，因此动态分析未能执行。 #### 2.2.3 反编译分析反编译后，发现DEX文件中类数量极少。经过代码层面静态分析，主要逻辑如下： **核心逻辑**：应用解密部分文件并加载自定义`Application`。在`assets`目录下发现`uniapp`框架的产物文件，确认该应用使用跨平台框架`uniapp`开发。 **关键代码入口**：在`app-service.js`中发现名为`contract`的页面入口，其对应函数索引为6596。该页面是触发恶意行为的起点。 **设备信息初始化上报**： `contract`页面加载后的回调`onLoad()`调用`doContract()`，后者调用`initUploadData()`。该函数首先判断网络状态，同时检查图片和视频列表是否为空，最终调用回调函数`getAllAndIOS()`。 **权限请求与欺骗**：在iOS和Android平台，应用均以“应用正常运行需要”为由，请求相册权限。作为区块链相关应用，相册权限与正常功能无必然联系，此行为明显可疑。 **文件收集与上传**： - 在Android上，通过`androidDoingUp`函数读取图片和视频并打包。 - 在iOS上，通过`getScreenshotsAndShouchang()`收集内容。 - 上传接口路径为随机字符，使用`uploadBinFa()`、`uploadZipBinFa()`和`uploadDigui()`函数进行文件上传。 **上传接口域名**：上报URL中的`commonUrl`域名来自`/api/bf9023/c99so`接口的返回。该接口的`domain`值存储在`uniapp`本地缓存中。我们未找到写入缓存的代码，推测其被加密混淆后存在于`app-confusion.js`中，在一次历史运行时于应用缓存中观察到该域名。 ## 三、链上追踪与资金流向 ### 3.1 主要盗币地址经查找币追踪系统分析，主要盗币地址（0x49aDd3E8329f2A2f507238b0A684d03EAE205aab）已盗取至少182万美元资产。该地址通过多层转移、混币服务等方式隐匿资金流向。 ### 3.2 资金转移特征 - **分批转移**：攻击者将盗取资产拆分为小额交易，分批转移至多个中间地址。 - **跨链桥接**：部分资金通过跨链桥转移至其他公链，增加追踪难度。 - **混币服务**：利用中心化混币服务进行资金混淆，进一步掩盖来源。 ## 四、威胁分析与风险提示 ### 4.1 攻击链总结 1. **诱饵分发**：通过社交工程、虚假广告或第三方应用商店分发BOM应用。 2. **权限欺骗**：以“应用正常运行需要”为由，诱导用户授权相册和文件权限。 3. **数据窃取**：后台扫描设备，收集包含助记词、私钥的截图或文件。 4. **资产转移**：利用窃取的凭证，系统性转移用户钱包资产。 5. **资金隐匿**：通过多层转移、跨链桥和混币服务隐藏资金去向。 ### 4.2 用户风险 - **助记词/私钥泄露**：存储在设备相册或文件中的敏感信息被窃取。 - **资产损失**：钱包资产被攻击者完全控制并转移。 - **隐私泄露**：相册中的个人照片、视频等隐私数据被上传至攻击者服务器。 ## 五、安全防护建议为防范此类攻击，查找币安全团队强烈建议用户采取以下措施： 1. **切勿在设备上存储助记词或私钥** 助记词和私钥应使用硬件钱包或离线存储方式保管，避免以截图、文档等形式保存在手机或电脑中。 2. **谨慎授权应用权限** 安装应用时，仔细检查其请求的权限是否合理。区块链应用通常不需要相册、文件等敏感权限。 3. **仅从官方渠道下载应用** 避免从第三方应用商店、社交媒体链接或不明来源下载应用。优先使用官方应用商店和项目方官网。 4. **启用交易二次验证** 为钱包设置交易签名确认、多签等机制，增加资产转移的难度。 5. **定期检查授权应用** 定期审查钱包授权列表，撤销可疑或不再使用的应用授权。 6. **使用专业安全工具** 借助链上追踪工具（如查找币追踪系统）监控资金流动，及时发现异常交易。 7. **学习安全知识** 推荐阅读由查找币创始人余弦撰写的《区块链黑暗森林自救手册》，提升安全意识。 ## 六、总结 BOM恶意软件事件再次警示我们：Web3资产安全不仅取决于链上协议的安全性，更依赖于用户的操作习惯和设备安全。攻击者利用人性弱点和社会工程学手段，伪装成正常应用窃取资产。作为安全从业者，查找币团队将持续监控新型威胁，并第一时间向社区披露风险。本文由查找币安全团队整理发布

BOM恶意软件深度分析：伪装应用窃取助记词，超182万美元资产被盗

查找币安全研究院

主题延伸阅读