用戶在下載使用 APP 時需多方確認,認准官方下載渠道,避免下載到惡意 APP 造成資金損失。
作者:耀&山哥
事件背景
10 月 24 日,推特用戶 “幣圈小胡” 發推表示在使用幣安 App 時,5 枚 ETH 被轉入了黑客替換好的地址。
目前轉入的黑客地址已經被 MistTrack 標記為惡意釣魚地址。
沒過多久,另一名推特用戶 “kongkong” 也發推稱,“朋友從 OK 提 USDT 到幣安,第一筆到賬了,第二筆 5000 多 USDT,等了半個多小時都沒到賬。最後聯繫幣安 App 客服,說接收 USDT 的地址不是幣安用戶的地址”。
受害者求助慢霧安全團隊,慢霧安全團隊分析後發現,用戶使用的是假幣安 APP,才導致的資金受損,下面我們展開分析。
假幣安 APK 分析
首先,我們拿到受害者提供的 “幣安 APP”,通過對比同版本的 APK 文件大小,真幣安 APK 大小為 247.1 MB,假幣安 APK 大小為 191.3 MB,說明假的幣安 APK 被壓縮過。
從打包簽名信息同樣可以看出受害者這個 APK 存在問題。
下圖是真幣安的簽名信息,可以看到簽名日期是 2017-10-25,簽名內容包含 Binance 字樣。
下圖是假幣安的簽名信息,可以看到簽名日期是 2022-10-06,說明黑客是近期才打包簽名這個假的 APK,並且簽名的內容都是隨意生成的:
2.48.4 這是幣安比較早的交易所 App 的版本,這個版本真正的 APK 並沒有進行加殼加固,因此黑客進行 APK 篡改並重新打包是一件很容易的事情:
然而,對假幣安 APK 進行分析卻發現黑客居然採用梆梆安全免費版加固來防止其他人分析 APK:
通過對假 APK 脫殼反編譯源碼進行分析,並未找到黑客地址,可見黑客地址是通過網絡傳輸來達到修改充值地址的目的。
進一步分析,發現了實際進行充值地址的網絡接口域名地址和管理後台域名地址,主要是以下兩個域名:
13haojk.com
13haoht.com
網絡接口地址經過 AES 加密傳輸,接口路徑為 “/api/index/get_usdt_list”。
進行網絡接口分析時該接口已經停止運行服務,不過根據接口特徵通過網絡搜索引擎發現了黑客的其他接口域名還在運行當中,如下:
14hjiekou.xyz
10haohout.com
其他渠道假幣安 App 分析
根據受害人的反饋,幣安假 APP 來源於百度搜索,於是我們通過搜索的方式下載到了多個所謂 “官方 APP”。
我們選擇其中一個假幣安 APP 進行網絡分析,在安裝了假的幣安 APP 之後,就發現這個假的 App 開始大量請求獲取的釣魚充值地址:
我們使用的測試賬號在幣安官方得到的 ETH 的實際充值地址為 0xc75edf**********2825e6,然後在登錄了假的幣安 APP 後,進入 ETH 充值地址頁面發現地址已被替換顯示為釣魚地址:0xCBea4B6d006C7eb5b0B8EeAfC0BE839Ba33ECa82。
我們發現 MistTrack 還未識別到這個新的釣魚地址,於是我們第一時間使用 report 功能上傳了這個釣魚地址。
總結
慢霧安全團隊經過大量錢包釣魚案例總結,發現 Web3 世界在釣魚手法方面一般可以分為三大類別:修改轉賬目標地址、盜取私鑰助記詞和簽名欺騙。
本次分享的案例是通過假冒的交易所 APP,慢霧安全團隊也分享過通過假的 Telegram APP 釣魚的案例,用戶在下載使用 APP 時還是需要多方確認,認准官方下載渠道,避免下載到惡意 APP 造成資金損失。
更多的安全知識建議閱讀慢霧安全團隊出品的《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。