OKX & SlowMist 공동 발표｜Bom 악성 소프트웨어, 만 명 이상의 사용자 피해, 자산 182만 달러 이상 도난

2025년 2월 14일, 여러 사용자들이 지갑 자산 도난에 대한 집중적인 피드백을 보냈습니다. 체인 상 데이터 분석 결과, 도난 사례는 모두 니모닉/개인 키 유출의 특징을 보였습니다. 피해 사용자와의 추가 방문 조사에서, 그들 대부분이 BOM이라는 이름의 애플리케이션을 설치하고 사용한 적이 있음을 발견했습니다. 심층 조사 결과, 해당 애플리케이션은 정교하게 위장된 사기 소프트웨어로, 범죄자들이 이 소프트웨어를 통해 사용자에게 권한을 부여하도록 유도한 후, 불법적으로 니모닉/개인 키 권한을 획득하여 체계적인 자산 이전 및 은닉을 수행했습니다. 따라서 SlowMist AML 팀과 OKX Web3 보안 팀은 이 악성 소프트웨어의 범죄 수법을 조사하고 공개하며, 체인 상 추적 분석을 진행하여 더 많은 사용자에게 안전 경고 및 조언을 제공하고자 합니다.

1. 악성 소프트웨어 분석 (OKX)

사용자의 동의를 받아, OKX Web3 보안 팀은 일부 사용자 스마트폰의 BOM 애플리케이션 apk 파일을 수집하여 분석하였습니다. 구체적인 세부 사항은 다음과 같습니다:

(1) 결론

1. 해당 악성 앱은 계약 페이지에 들어간 후, 애플리케이션 실행에 필요한 이유로 사용자에게 로컬 파일 및 앨범 권한을 허용하도록 속입니다.
2. 사용자 권한을 획득한 후, 해당 애플리케이션은 백그라운드에서 장치 앨범의 미디어 파일을 스캔하고 수집하여 패키징한 후 서버로 업로드합니다. 만약 사용자 파일이나 앨범에 니모닉, 개인 키 관련 정보가 저장되어 있다면, 범죄자들은 이 애플리케이션을 통해 수집된 관련 정보를 이용해 사용자 지갑 자산을 도난할 수 있습니다.

(2) 분석 과정

1. 샘플 초기 분석

1) 애플리케이션 서명 분석

서명 주제가 비정상적이며, 분석 결과 adminwkhvjv로 해석되며, 의미 없는 무작위 문자들로 구성되어 있습니다. 정상적인 애플리케이션은 일반적으로 의미 있는 문자 조합으로 이루어져 있습니다.

2) 악성 권한 분석

해당 애플리케이션의 AndroidManifest 파일에서 많은 권한이 등록된 것을 볼 수 있습니다. 여기에는 로컬 파일 읽기/쓰기, 미디어 파일 읽기, 앨범 접근 등 정보 민감한 권한이 포함되어 있습니다.

2. 동적 분석

분석 시 애플리케이션 백엔드 인터페이스 서비스가 이미 종료되어 애플리케이션이 정상적으로 실행되지 않아 동적 분석을 진행할 수 없었습니다.

3. 역컴파일 분석

역컴파일 결과, 해당 애플리케이션의 dex 내 클래스 수가 매우 적으며, 이 클래스들에 대해 코드 수준의 정적 분석을 진행했습니다.

주요 논리는 일부 파일을 복호화하고 애플리케이션을 로드하는 것입니다:

assets 디렉토리에서 uniapp의 산출물 파일을 발견하여, 해당 앱이 크로스 플랫폼 프레임워크 uniapp을 사용하여 개발되었음을 나타냅니다:

uniapp 프레임워크 하에 개발된 애플리케이션의 주요 논리는 산출물 파일 app-service.js에 있으며, 일부 핵심 코드는 app-confusion.js에 암호화되어 있습니다. 우리는 주로 app-service.js에서 분석을 시작했습니다.

1) 트리거 진입점

각 페이지의 진입점에 등록된 계약 페이지라는 이름의 진입점을 찾았습니다.

해당 함수 index는 6596입니다.

2) 장치 정보 초기화 보고

계약 페이지 로드 후의 콜백 onLoad()는 doContract()를 호출합니다.

doContract() 내에서 initUploadData()를 호출합니다.

initUploadData()에서는 먼저 네트워크 상태를 판단하고, 이미지 및 비디오 목록이 비어 있는지도 확인합니다. 마지막으로 콜백 e()를 호출합니다.

콜백 e()는 getAllAndIOS()입니다.

3) 권한 확인 및 요청

여기서 iOS에서는 먼저 권한을 요청하고, 애플리케이션 정상 실행에 필요한 문구로 사용자에게 동의를 속입니다. 이 요청 권한 행동은 상당히 의심스러우며, 블록체인 관련 애플리케이션으로서 정상 실행과 앨범 권한은 필연적인 관계가 없습니다. 이 요청은 명백히 애플리케이션 실행의 정상적인 요구를 초과합니다.

Android에서도 마찬가지로 앨범 권한을 판단하고 요청합니다.

4) 앨범 파일 수집 및 읽기

그 후 androidDoingUp에서 이미지와 비디오를 읽고 패키징합니다.

5) 앨범 파일 업로드

마지막으로 uploadBinFa(), uploadZipBinFa() 및 uploadDigui()에서 업로드를 진행하며, 업로드된 인터페이스 경로도 무작위 문자로 구성되어 있습니다.

iOS 프로세스도 유사하며, 권한을 획득한 후 iOS에서는 getScreeshotAndShouchang()를 통해 수집된 내용을 업로드하기 시작합니다.

6) 업로드 인터페이스

보고된 URL의 commonUrl 도메인은 /api/bf9023/c99so 인터페이스의 반환에서 유래합니다.

해당 인터페이스의 도메인은 uniapp의 로컬 캐시에서 유래합니다.

캐시 쓰기 코드는 발견되지 않았으며, app-confusion.js에 암호화되어 존재할 수 있습니다. 한 번의 역사적 실행 시 애플리케이션 캐시에서 해당 도메인을 확인했습니다.

2. 체인 상 자금 분석 (SlowMist)

SlowMist AML의 체인 상 추적 및 반세탁 도구 MistTrack 분석에 따르면, 현재 주요 도난 주소(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)는 최소 13,000명의 사용자 자금을 도난당했으며, 이익은 182만 달러를 초과합니다.

(https://dune.com/queries/4721460)

해당 주소 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab의 첫 거래는 2025년 2월 12일에 발생했으며, 주소 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35에서 0.001 BNB가 초기 자금으로 전송되었습니다:

주소 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35를 분석한 결과, 해당 주소의 첫 거래도 2025년 2월 12일에 발생했으며, 초기 자금은 MistTrack에서 "Theft-개인 키 도난"으로 표시된 주소 0x71552085c854EeF431EE55Da5B024F9d845EC976에서 유래했습니다:

초기 해커 주소 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab의 자금 흐름을 계속 분석합니다:

BSC: 약 37,000달러의 이익을 얻었으며, USDC, USDT, WBTC 등의 여러 코인을 포함하고 있으며, 일부 토큰은 PancakeSwap을 통해 BNB로 교환되었습니다:

현재 주소 잔고는 611 BNB와 약 120,000달러의 가치가 있는 토큰(USDT, DOGE, FIL 등)입니다.

Ethereum: 약 280,000달러의 이익을 얻었으며, 대부분은 다른 체인에서 크로스 체인으로 전송된 ETH에서 발생했습니다. 이후 100 ETH를 0x7438666a4f60c4eedc471fa679a43d8660b856e0로 전송했으며, 해당 주소는 위의 주소 0x71552085c854EeF431EE55Da5B024F9d845EC976에서 전송된 160 ETH를 수신하여 총 260 ETH가 아직 전송되지 않았습니다.

Polygon: 약 37,000 또는 65,000달러의 이익을 얻었으며, WBTC, SAND, STG 등의 여러 코인을 포함하고 있으며, 대부분의 토큰은 OKX-DEX를 통해 66,986 POL로 교환되었습니다. 현재 해커 주소 잔고는 다음과 같습니다:

Arbitrum: 약 37,000달러의 이익을 얻었으며, USDC, USDT, WBTC 등의 여러 코인을 포함하고 있으며, 토큰은 ETH로 교환되어 총 14 ETH가 OKX-DEX를 통해 Ethereum으로 크로스 체인되었습니다:

Base: 약 12,000달러의 이익을 얻었으며, FLOCK, USDT, MOLLY 등의 여러 코인을 포함하고 있으며, 토큰은 ETH로 교환되어 총 4.5 ETH가 OKX-DEX를 통해 Ethereum으로 크로스 체인되었습니다:

기타 체인에 대해서는 더 이상 언급하지 않겠습니다. 우리는 피해자가 제공한 또 다른 해커 주소에 대해서도 간단한 분석을 진행했습니다.

해커 주소 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0의 첫 거래는 2025년 2월 13일에 발생했으며, 약 650,000달러의 이익을 얻었고, 여러 체인에 관련된 USDT는 모두 TRON 주소 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx로 크로스 체인되었습니다:

주소 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx는 총 703,119.2422 USDT를 수신하였으며, 잔고는 288,169.2422 USDT입니다. 이 중 83,000 USDT는 주소 TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus로 전송되었으나 아직 전송되지 않았으며, 나머지 331,950 USDT는 Huionepay와 상호작용한 주소 THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz로 전송되었습니다.

우리는 관련 잔고 주소를 지속적으로 모니터링할 것입니다.

3. 안전 권장 사항

사용자의 방어 인식을 높이기 위해, SlowMist AML 팀과 OKX Web3 보안 팀은 다음과 같은 안전 권장 사항을 정리했습니다:

1. 출처가 불분명한 소프트웨어(소위 "양털 깎기 도구" 및 발행자가 불분명한 모든 소프트웨어 포함)를 절대 다운로드하지 마십시오.
2. 친구나 커뮤니티에서 추천하는 다운로드 링크를 믿지 마시고, 공식 채널을 통해 다운로드하십시오.
3. 정식 경로를 통해 애플리케이션을 다운로드 및 설치하십시오. 주요 경로로는 Google Play, App Store 및 각종 공식 애플리케이션 스토어가 있습니다.
4. 니모닉을 안전하게 보관하고, 스크린샷, 사진, 메모장, 클라우드 저장소 등으로 보관하지 마십시오. OKX 지갑 모바일 버전에서는 개인 키 및 니모닉 페이지의 스크린샷을 금지하고 있습니다.
5. 물리적인 방법으로 니모닉을 보관하십시오. 예를 들어, 종이에 적거나 하드웨어 지갑에 보관하거나 분할 저장(니모닉/개인 키를 분할하여 서로 다른 위치에 저장)하는 방법이 있습니다.
6. 정기적으로 지갑을 교체하십시오. 조건이 허락하는 경우 정기적으로 지갑을 교체하면 잠재적인 안전 위험을 줄이는 데 도움이 됩니다.
7. MistTrack(https://misttrack.io/)와 같은 전문 체인 상 추적 도구를 활용하여 자금을 모니터링하고 분석하여 사기 또는 피싱 사건에遭遇할 위험을 줄이고 자산 안전을 더욱 잘 보장하십시오.
8. SlowMist 창립자 유선이 작성한++《블록체인 어두운 숲 자구 매뉴얼》++을 읽는 것을 강력히 추천합니다.

면책 조항

이 내용은 참고용으로만 제공되며, (i) 투자 조언이나 추천으로 간주되지 않으며, (ii) 디지털 자산의 구매, 판매 또는 보유에 대한 제안이나 유인으로 간주되지 않으며, (iii) 재무, 회계, 법률 또는 세무 조언으로 간주되지 않습니다. 우리는 이러한 정보의 정확성, 완전성 또는 유용성을 보장하지 않습니다. 디지털 자산(안정 코인 및 NFT 포함)은 시장 변동의 영향을 받으며, 높은 위험이 수반되며, 가치가 하락하거나 심지어 무가치해질 수 있습니다. 귀하는 자신의 재정 상황과 위험 감내 능력에 따라 거래 또는 디지털 자산 보유가 적합한지 신중하게 고려해야 합니다. 귀하의 특정 상황에 대해서는 법률/세무/투자 전문가에게 상담하십시오. 모든 제품이 모든 지역에서 제공되는 것은 아닙니다. 자세한 내용은 OKX 서비스 약관 및 위험 공개 및 면책 조항을 참조하십시오. OKX Web3 모바일 지갑 및 그 파생 서비스는 별도의 서비스 약관의 적용을 받습니다. 귀하가 거주하는 지역의 관련 법률 및 규정을 이해하고 준수하는 것은 귀하의 책임입니다.