Revelación de un gran robo de activos digitales: ataques de malware a más de diez mil usuarios

A mediados de febrero de 2025, varios usuarios informaron que sus activos en la cartera fueron robados. Tras una investigación, se encontró que estos casos presentaban características de filtración de frases de recuperación o claves privadas. Una investigación más profunda reveló que la mayoría de los usuarios afectados habían instalado y utilizado una aplicación llamada BOM. Un análisis exhaustivo indica que esta aplicación es en realidad un malware cuidadosamente disfrazado, a través del cual los delincuentes inducen a los usuarios a otorgar permisos y, posteriormente, obtienen ilegalmente acceso a las frases de recuperación/claves privadas, llevando a cabo así una transferencia sistemática y encubierta de activos.

Análisis de malware

Tras el análisis, esta aplicación maliciosa presenta los siguientes problemas:

1. La firma de la aplicación no es estándar, utiliza una combinación de caracteres aleatorios.
2. Se solicitaron numerosos permisos sensibles, incluidos la lectura y escritura de archivos locales, la lectura de archivos multimedia, álbumes, etc.
3. Al entrar en la página del contrato, se engaña a los usuarios para que autoricen permisos de archivos locales y de álbumes, bajo el pretexto de que la aplicación necesita ejecutarse.
4. Después de obtener la autorización, escanea y recopila los archivos multimedia de la galería del dispositivo en segundo plano, empaquétalos y súbelos al servidor.

Análisis de fondos en cadena

Según el análisis de seguimiento en cadena, las principales direcciones de robo de monedas han robado fondos de al menos 13,000 usuarios, obteniendo ganancias de más de 1.82 millones de dólares. Las cadenas involucradas incluyen BSC, Ethereum, Polygon, Arbitrum, Base, entre otras.

Parte de los flujos de fondos:

• BSC: ganancias de aproximadamente 37,000 dólares, se suele utilizar algún DEX para cambiar parte de los tokens por BNB
• Ethereum: ganancias de aproximadamente 280,000 dólares, la mayor parte proviene de ETH transferido desde otras cadenas.
• Polygon: Ganancia de aproximadamente 37,000 dólares, la mayoría de los tokens ya han sido intercambiados por POL a través de algún DEX
• Arbitrum: ganancia de aproximadamente 37,000 dólares, el token se intercambia por ETH y se transfiere a Ethereum
• Base: Ganancias de aproximadamente 12,000 dólares, el token se intercambia por ETH y se transfiere a Ethereum

Otra dirección de hacker obtuvo ganancias de aproximadamente 650,000 dólares, involucrando múltiples cadenas, y el USDT relacionado fue transferido a TRON a través de cadenas.

Sugerencias de seguridad

1. No descargue software de fuentes desconocidas.
2. No confíes en los enlaces de descarga de software recomendados por otros, asegúrate de utilizar canales oficiales.
3. Descargue e instale la aplicación desde canales oficiales.
4. Guarda adecuadamente la frase de recuperación, evitando usar capturas de pantalla, fotos u otros métodos electrónicos.
5. Guardar la frase de recuperación de forma física, como escribirla a mano, utilizar una billetera de hardware, almacenamiento en segmentos, etc.
6. Cambiar la billetera regularmente para eliminar riesgos de seguridad potenciales.
7. Utiliza herramientas profesionales de seguimiento en cadena para monitorear los fondos.
8. Fortalecer la conciencia de seguridad, entender los conocimientos de seguridad relacionados.