自带反侦察“炸弹”功能的假钱包,要如何识别?背后又隐藏着怎样的秘密?
摘要:
Web3世界正在不断演变。而随着这种演变,社区也在面临全新和复杂的威胁,其中一个威胁便是假钱包的泛滥。这些假钱包对Web3社区来说是一个持续且十分令人困扰的问题,需要专门进行研究才能识别并揭露它们。
CertiK最近发现了一个有组织的诈骗集团,该集团组织利用部署的假钱包,以欺骗用户来窃取用户资产。由于该团体使用的特殊逃逸性反取证功能较为罕见,因此我们将其命名为BombFlower。
由于该集团组织使用了检测逃逸技术,这些假钱包移动应用程序很可能会被主流的恶意软件检测工具所忽略。
在此文中,CertiK的安全专家为大家简单介绍了该团体的行为及CertiK为识别和揭露他们所采取的措施。希望这篇文章能够为Web3社区提供有价值的见解,以帮助他们在面临相关威胁时保证安全。
BombFlower打造真假美猴王作为研究工作的一部分,CertiK专家团队一直在跟踪BombFlower组织部署的假钱包。BombFlower早在2021年10月就部署了假钱包,并在今年年初还持续活跃着。下图展示了其假钱包活动的时间表及受影响的具体钱包。
被BombFlower假冒的知名钱包及时间轴
BombFlower通常将他们的假钱包设计的与原版合法钱包非常相似。如下图Trust Wallet,这些钓鱼网站使用了与原始网站类似的设计和布局,只是在域名上略有细微不同。如果不仔细看,用户是非常难以分辨的。(你能识别以下哪个是真网站,哪个是“高仿”吗?)
BombFlower的钓鱼网站看起来与官方网站几乎无异
BombFlower后门技术细节
假钱包一直是web3社区所面临的一个持续威胁。大多数假钱包后门都可以入侵助记符生成功能,比如直接将恶意代码注入钱包的javascript代码(如index.android.bundle)或smali代码中。
曾有人对SeaFlower的研究,就提供了关于这种类型后门的大量细节。
然而,BombFlower后门与以前的假钱包恶意软件不同。它有个明显特征:在木马文件内包含有另一个应用程序的二进制文件,而真正的 “假钱包”实际上隐藏在BombFlower应用程序中。
如下图所示,BombFlower恶意软件的第一个异常行为是从其运行时内存中提取一个二进制文件(在这种情况下是“bitkeep.apk”),然后在BombFlower应用程序的虚拟客户端环境中安装这个木马APK。
在BombFlower应用程序中提取并启动bitkeep.apk
那些误下载并安装了BombFlower应用程序的用户实际上使用的是这个内部隐藏的假钱包程序,在使用过程中黑客即可对助记词生成或恢复程序进行拦截,并窃取用户所使用的助记词或私钥。
后门提取的秘密
下图显示了密钥信息如何从内存中被复制并发送至由攻击者控制的服务器。
助记词被上传到反屏蔽应用程序的服务器上
然而这些只是对BombFlower假钱包一些独特后门进行的简要总结。
在CertiK的研究中,专家们还发现这些被植入木马的移动应用程序中蕴含了多种复杂的异常行为。在本文中,我们只讲述该家族的主要突出特点。
BombFlower“独门秘籍”ZipBomb反侦察“压缩炸弹”💣
BombFlower集团因其使用的一种独特“反侦查取证”技术而引人注目,该“独门秘籍”被称为“ZipBomb”(压缩炸弹),并被用来躲避研究人员的检测和分析。
在BombFlower部署的某些样本中,假钱包二进制文件包含一个隐藏的ZipBomb。当自动分析工具用于这些假钱包并且解压缩资源文件时,“炸弹”则会被触发,导致反编译器产生大量的垃圾文件。除非在分析过程中采取特殊措施,不然“炸弹爆炸”后会使进一步的分析变得更加具有挑战性。
下图显示了BombFlower样本在解压后产生垃圾文件的效果。
ZipBomb炸弹效果
由于采用了这种技术,BombFlower的木马化文件往往能躲过市面上大多数的病毒扫描器的扫描,VirusTotal网站上显示的低检测率甚至是零检测率也说明了这一点。
我们可以通过比较VirusTotal在移动应用信息上的输出的结果了解到:当直接加载BombFlower安卓样本到VirusTotal时,没有显示任何软件相关的信息;而当内部内嵌的假钱包程序被上传时,会显示出出更丰富的程序信息。
这种对比也体现在了下面的截图中。
恶意软件分析平台没有标注不正常行为该木马的常规APK分析结果
这种技术不仅独特,而且极具“反侦察性”,使研究人员难以追踪该组织的活动。这也是CertiK专家将该组织命名为BombFlower的原因之一。
BombFlower主机和后端
BombFlower组织在他们的假钱包活动中使用了各种云供应商,而这种特征也较为知名。根据CertiK专家观察,该组织使用了不同的供应商来托管后端服务器(位于香港和英国),在多样化其基础设的同时,也使得研究人员更难以追踪他们的活动。
尽管如此,CertiK还是已经通过识别共享的域名和注册历史,将该集团的不同云供应商联系在了一起。
下图说明了CertiK是如何将这些不同信息串连起来并揭示该组织基础设施的。
BombFlower可视化主机和后端基础设施
CertiK还通过识别不同活动中的多个共享特征,将这些假钱包与BombFlower集团联系了起来。这些共同特征包括:共享域名、托管基础设施(如上图所示),相对独特的“反侦察”技术(如ZipBomb),以及在后门使用相似的Hook钩子技术(ddhooker java包)。
假钱包的SEO
假钱包攻击者经常采用搜索引擎优化(SEO)战术,操纵搜索引擎结果,使其假网站出现在用户搜索结果的顶部。
其中最常见且简单的策略是购买与钱包相关的关键词,以提高其假网站的排名并迷惑用户。排名在前,用户自然更有可能点击他们的假网站。
BombFlower就是正在使用这种手段的组织,而可怕的是这种手段并不是BombFlower独有的,而是假钱包攻击者用来欺骗毫无戒心用户的一种常见方法。
如下图所示:
谷歌搜索出的真钱包VS假钱包结果
对Web3社区来说,重要的是了解这些犯罪组织的活动方式,并在网上搜索钱包时时刻保持警惕。
CertiK在此建议用户在使用官方网站、下载或使用任何钱包之前,都要检查网站的真实性。比如:检查该钱包的评论和信息,并对任何出现在搜索引擎结果顶部的网站保持谨慎——因为它们可能已经被假钱包攻击者操纵。
总结及安全专家建议
CertiK专家团队识别了BombFlower这个有组织的犯罪集团,同时也发现了该集团正在积极部署假钱包来欺骗用户。
该团伙使用了逃避性的反取证技术,使研究人员难以跟踪他们的活动,也使恶意软件检测器难以识别他们的假钱包。独特的手段相较于其他犯罪集团更容易“脱颖而出”。
专家团队不仅分析了该组织的时间线和使用的后门技术,同时也从这个假钱包家族中发现了规避性的后门行为。而本文仅涉及了该家族主要突出特点。后续,我们将继续监测和跟踪该犯罪团伙,在更多文章中披露这个假钱包恶意软件家族的其他异常行为,为Web3领域的安全带来更多分析和见解。
评论(0)
Oh! no
您是否确认要删除该条评论吗?