恶意软件 Bom 攻击事件分析

2025 年 2 月 14 日，多名用户反馈钱包资产被盗。经调查，被盗案例均表现为助记词或私钥泄露特征。进一步发现，受害用户大多曾安装并使用过名为 BOM 的应用。深入分析表明，该应用实为精心伪装的诈骗软件。不法分子通过该软件诱导用户授权，非法获取助记词/私钥权限，进而实施系统性资产转移并隐匿。

恶意软件分析

某安全团队收集并分析了部分用户手机上的 BOM 应用程序 apk 文件，得出以下结论：

1. 该恶意应用在进入合约页面后，以运行需要为由，欺骗用户授权本地文件及相册权限。

2. 获取授权后，应用在后台扫描并收集设备相册中的媒体文件，打包上传至服务端。如用户文件或相册中存有助记词、私钥相关信息，不法分子可能利用收集到的信息盗取用户钱包资产。

分析过程发现以下可疑点：

• 应用签名不规范，subject 为随机字符串
• AndroidManifest 文件中注册了大量敏感权限
• 使用跨平台框架 uniapp 开发，主要逻辑在 app-service.js 中
• 在 contract 页面加载时触发设备信息初始化上报
• 以应用正常运行需要为由，欺骗用户授权相册权限
• 获取权限后读取并打包上传相册文件

链上资金分析

据链上追踪分析，主要盗币地址已盗取至少 1.3 万名用户的资金，获利超 182 万美元。

该地址首笔交易出现在 2025 年 2 月 12 日，初始资金来源可追溯至被标记为"盗取私钥"的地址。

资金流向分析：

• BSC：获利约 3.7 万美元，常使用某 DEX 将部分代币换为 BNB
• Ethereum：获利约 28 万美元，大部分来自其他链跨链转入
• Polygon：获利约 3.7-6.5 万美元，大部分代币已通过某 DEX 兑换为 POL
• Arbitrum：获利约 3.7 万美元，代币兑换为 ETH 并跨链到 Ethereum
• Base：获利约 1.2 万美元，代币兑换为 ETH 并跨链到 Ethereum

另一个黑客地址获利约 65 万美元，涉及多条链，相关 USDT 均跨链到 TRON 地址。部分资金转移到曾与某支付平台交互过的地址。

![OKX & SlowMist 联合发布｜Bom 恶意软件席卷上万用户，盗取资产超 182 万美元](