下载抹茶看2023年核心币最新价格。

Web3世界在不断发展。随着这种演变，社区也面临着新的和复杂的威胁，其中之一是假钱包的扩散。对于Web3社区来说，这些假钱包是一个持久而令人困惑的问题，需要进行专门的研究来识别和揭露它们。

CertiK最近发现了一个有组织的欺诈集团，该集团使用部署的假钱包来欺骗用户并窃取他们的资产。因为这个群体使用的特殊逃逸反取证功能比较少见，所以我们将其命名为BombFlower。

由于该组织使用了逃逸检测技术，这些假冒的钱包移动应用程序很可能会被主流恶意软件检测工具忽略。

在这篇文章中，CertiK的安全专家简要介绍了该组织的行为以及CertiK识别和暴露他们的措施。我希望这篇文章能够为Web3社区提供有价值的见解，帮助他们在面对相关威胁时确保安全。

BombFlower创造了一个真假美猴王

作为研究工作的一部分，CertiK专家团队一直在追踪BombFlower部署的假钱包。

BombFlower早在2021年10月就部署了假钱包，并在今年年初持续活跃。

下图是其假钱包活动的时间表，以及受影响的具体钱包。

BombFlower伪造的著名钱包和时间表

BombFlower通常将他们的假钱包设计得与原来的合法钱包非常相似。

如下图所示，信任钱包，这些钓鱼网站采用了与原网站类似的设计和布局，只是域名略有不同。如果不仔细看，用户是很难分辨的。

你能辨别出以下哪个是真网站，哪个是“高仿”吗？)

BombFlower的钓鱼网站看起来和官网几乎一样。

BombFlower后门的技术细节

假钱包一直是web3社区的一大威胁。大部分假钱包后门都可以入侵助记符生成功能，比如直接在钱包的javascript代码(比如index.android.bundle)或者阿里代码中注入恶意代码。

有人对SeaFlower的研究提供了很多关于这种后门的细节。

不过，BombFlower后门与之前的假钱包恶意软件不同。它有一个很明显的特点:木马中包含了另一个应用的二进制文件，而真正的“假钱包”其实隐藏在BombFlower应用中。

如下图所示，BombFlower恶意软件的第一个异常行为是从其运行时内存中提取一个二进制文件(本例中为“bitkeep.apk”)，然后在BombFlower应用程序的虚拟客户端环境中安装这个木马apk。

在BombFlower应用程序中提取并启动bitkeep.apk。

那些错误下载安装了BombFlower应用的用户，其实用的就是这个隐藏的假钱包程序。在使用过程中，黑客可以拦截助记符生成或恢复程序，窃取用户使用的助记符或私钥。

通过后门获取的秘密

下图显示了密钥信息是如何从内存中* *发送到攻击者控制的服务器上的。

？

助记符被上传到反屏蔽应用的服务器。

不过这些只是对BombFlower假钱包的一些独特后门的简单总结。

在CertiK的研究中，专家还发现这些嵌入木马的移动应用程序包含多种复杂的异常行为。在本文中，我们只谈家庭的主要突出特点。

BombFlower“独特秘籍”

ZipBomb反侦察“压缩* *”？

BombFlower集团因其独特的反侦查取证技术而引人关注，该技术被称为“ZipBomb”(压缩* *)，用于躲避科研人员的检测和分析。

在BombFlower部署的一些示例中，假钱包二进制文件包含一个隐藏的ZipBomb。当对这些假钱包使用自动分析工具，对资源文件进行解压缩时，会触发“* *”，导致反编译器生成大量垃圾文件。除非在分析过程中采取特殊措施，否则爆炸后的进一步分析将变得更具挑战性。

下图是BombFlower示例生成的垃圾文件解压后的效果。

拉链炸弹**效应

因为有了这项技术，BombFlower的木马文件往往可以避免被市面上大多数病毒扫描器扫描，这一点在VirusTotal网站上显示的低检出率甚至零检出率也说明了这一点。

通过对比VirusTotal在移动应用信息上的输出结果，我们可以知道，当BombFlower Android的样本直接加载到VirusTotal时，没有显示任何软件相关的信息；嵌入式假钱包程序上传时，会显示更丰富的程序信息。

这种反差在下面的截图中也有体现。

恶意软件分析平台未标记异常行为。

常规APK对这种特洛伊木马的分析结果。

这种技术不仅独特，而且“反侦察”，使研究人员很难跟踪该组织的活动。这也是CertiK专家将该组织命名为BombFlower的原因之一。

BombFlower主机和后端

BombFlower组织在他们的假钱包活动中使用各种云提供商，这个功能也是众所周知的。根据CertiK专家的观察，该组织使用不同的供应商来托管后端服务器(位于香港和英国)，这不仅使其基础设施多样化，也使研究人员更难跟踪他们的活动。

然而，CertiK通过识别共享域名和注册历史，将该集团的不同云提供商联系起来。

下图说明了CertiK如何连接这些不同的信息，并揭示了组织的基础结构。

BombFlower将主机和后端基础设施可视化。

CertiK还通过识别不同活动中的多个共享特征，将这些假钱包与BombFlower集团联系起来。这些共性包括:共享域名、托管基础设施(如上图)、相对独特的“反侦察”技术(如ZipBomb)、后门使用类似Ho matcha hook技术(ddho matcha er java包)。

假钱包的SEO

假冒钱包攻击者经常使用搜索引擎优化(SEO)策略来操纵搜索引擎结果，并使其假冒网站出现在用户搜索结果的顶部。

一个最常见最简单的策略就是购买钱包相关的关键词来提高虚假网站的排名，迷惑用户。在顶部，用户自然更容易点击他们的虚假网站。

BombFlower是一个正在使用这种方法的组织，但可怕的是，这种方法并不是BombFlower独有的，而是假钱包攻击者用来欺骗不知情用户的常用方法。

如下图所示:

谷歌搜索的真实钱包与虚假钱包对比结果

对于Web3社区来说，了解这些犯罪组织的活动并在网上搜索钱包时保持警惕非常重要。

CertiK在此建议用户在使用官网、下载或使用任何钱包之前，先检查网站的真实性。例如，检查钱包的评论和信息，并对任何出现在搜索引擎结果顶部的网站保持谨慎——因为它们可能已被假冒钱包攻击者操纵。

安全专家的总结和建议

CertiK专家小组确定了有组织犯罪集团BombFlower，还发现该集团正在积极部署假钱包来欺骗用户。

该团伙使用了规避的反取证技术，这使得研究人员很难跟踪他们的活动，也使得恶意软件检测器很难识别他们的假钱包。独特的手段比其他犯罪集团更容易“脱颖而出”。

专家团队不仅分析了该组织的时间轴和后门技术，还从这个假钱包家族中发现了规避后门行为。本文只讨论这个家族的主要突出特征。未来，我们将继续对该犯罪团伙进行监控和追踪，并在更多的文章中披露这个假钱包恶意软件家族的其他异常行为，为Web3的安全带来更多的分析和见解。

文章来自抹茶交流。

下载抹茶安卓:马上去。

抹茶IOS下载:现在就去

本网站声明:网站内容来源于网络。如有侵权，请联系我们，我们会及时处理。

温馨提示：注：内容来源均采集于互联网，不要轻信任何，后果自负，本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权，请给我们来信，我们会及时处理和回复。