慢霧：Web3 假錢包第三方源調查分析_APK

By: 山 & 耀

背景

基于區塊鏈技術的 Web3 正在驅動下一代技術革命，越來越多的人開始參與到這場加密浪潮中，但 Web3 與 Web2 是兩個截然不同的世界。Web3 世界是一個充滿著各種各樣的機遇以及危險的黑暗森林，身處 Web3 世界中，錢包則是進入 Web3 世界的入口以及通行證。

當你通過錢包在 Web3 世界中探索體驗諸多的區塊鏈相關應用和網站的過程中，你會發現在一條公鏈上每個應用都是使用錢包 “登錄”；這與我們傳統意義上的 “登錄” 不同，在 Web2 世界中，每個應用之間的賬戶不全是互通的。但在 Web3 的世界中，所有應用都是統一使用錢包去進行 “登錄”，我們可以看到 “登錄” 錢包時顯示的不是 “Login with Wallet”，取而代之的是 “Connect Wallet”。而錢包是你在 Web3 世界中的唯一通行證。

俗話說高樓之下必有陰影，在如此火熱的 Web3 世界里，錢包作為入口級應用，自然也被黑灰產業鏈盯上。

慢霧：CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus:7月26日消息，慢霧發推稱，CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus Group。慢霧表示，TGGMvM開頭地址收到了與Alphapo事件有關TJF7md開頭地址轉入的近1.2億枚TRX，而TGGMvM開頭地址在7月22日時還收到了通過TNMW5i開頭和TJ6k7a開頭地址轉入的來自Coinspaid熱錢包的資金。而TNMW5i開頭地址則曾收到了來自Atomic攻擊者使用地址的資金。[2023/7/26 16:00:16]

在 Android 環境下，由于很多手機不支持 Google Play 或者因為網絡問題，很多人會從其他途徑下載 Google Play 的應用，比如：apkcombo、apkpure 等第三方下載站，這些站點往往標榜自己 App 是從 Google Play 鏡像下載的，但是其真實安全性如何呢？

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

網站分析

慢霧：仍有大部分錢包支持eth_sign，僅少部分錢包提供安全風險警告:金色財經報道，在加密貨幣NFT板塊，越來越多的釣魚網站濫用 eth_sign 簽名功能來進行盲簽欺詐，提醒或禁用這種低級的簽名方法對于保護用戶安全是至關重要的，不少 Web3 錢包已經采取相關措施來對這種危險的簽名方法進行安全提示和限制。仍有一大部分加密錢包支持 eth_sign，其中少部分錢包提供 eth_sign 安全風險警告。如果用戶仍想要使用 eth_sign，他們可以選擇支持該功能的加密錢包。但是，用戶在使用這些錢包時需要特別注意安全警告，以確保其交易的安全性。[2023/5/11 14:57:14]

鑒于下載途徑眾多，我們今天以 apkcombo 為例看看，apkcombo 是一個第三方應用市場，它提供的應用據官方說大部分來源于其他正規應用商店，但事實是否真如官方所說呢？

我們先看下 apkcombo 的流量有多大：

慢霧：Lendf.Me攻擊者剛歸還了126,014枚PAX:慢霧安全團隊從鏈上數據監測到，Lendf.Me攻擊者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)剛向Lendf.Me平臺admin賬戶(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)轉賬126,014枚PAX，并附言\"Better future\"。隨后Lendf.Me平臺admin賬戶通過memo回復攻擊者并帶上聯系郵箱。此外，Lendf.Me攻擊者錢包地址收到一些受害用戶通過memo求助。[2020/4/20]

據數據統計站點 similarweb 統計，apkcombo 站點：

全球排名：1,809

國家排名：7,370

品類排名：168

我們可以看到它的影響力和流量都非常大。

它默認提供了一款 chrome APK 下載插件，我們發現這款插件的用戶數達到了 10 W+：

動態 | 慢霧： 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張，有攻擊者開始利用交易所/DApp提幣功能惡意挖礦，請交易所/DApp在處理EOS及EOS上Token的提幣時，注意檢查用戶提幣地址是否是合約賬號，建議暫時先禁止提幣到合約賬號，避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時，需要注意部分交易所的EOS充值錢包地址也是合約賬號，需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]

那么回到我們關注的 Web3 領域中錢包方向，用戶如果從這里下載的錢包應用安全性如何？

我們拿知名的 imToken 錢包為例，其 Google Play 的正規下載途徑為：

https://play.google.com/store/apps/details?id=im.token.app

由于很多手機不支持 Google Play 或者因為網絡問題，很多人會從這里下載 Google Play 的應用。

而 apkcombo 鏡像站的下載路徑為：

https://apkcombo.com/downloader/#package=im.token.app

上圖我們可以發現，apkcombo 提供的版本為 24.9.11，經由 imToken 確認后，這是一個并不存在的版本！證實這是目前市面上假 imToken 錢包最多的一個版本。

在編寫本文時 imToken 錢包的最新版本為 2.11.3，此款錢包的版本號很高，顯然是為了偽裝成一個最新版本而設置的。

如下圖，我們在 apkcombo 上發現，此假錢包版本顯示下載量較大，此處的下載量應該是爬取的 Google Play 的下載量信息，安全起見，我們覺得有必要披露這個惡意 App 的來源，防止更多的人下載到此款假錢包。

同時我們發現類似的下載站還有如：uptodown

下載地址：https://imtoken.br.uptodown.com/android

我們發現 uptodown 任意注冊即可發布 App，這導致釣魚的成本變得極低：

在之前我們已經分析過不少假錢包的案例，如：2021-11-24 我們披露：《慢霧：假錢包 App 已致上萬人被盜，損失高達十三億美元》，所以在此不再贅述。

我們僅對 apkcombo 提供版本為 24.9.11 這款假錢包進行分析，在開始界面創建錢包或導入錢包助記詞時，虛假錢包會將助記詞等信息發送到釣魚網站的服務端去，如下圖：

根據逆向 APK 代碼和實際分析流量包發現，助記詞發送方式：

看下圖，最早的 “api.funnel.rocks” 證書出現在 2022-06-03，也就是攻擊開始的大概時間：

俗話說一圖勝千言，最后我們畫一個流程圖：

目前這種騙局活動不僅活躍，甚至有擴大范圍的趨勢，每天都有新的受害者受騙。用戶作為安全體系最薄弱的環節，應時刻保持懷疑之心，增強安全意識與風險意識，當你使用錢包、交易所時請認準官方下載渠道并從多方進行驗證；如果你的錢包從上述鏡像站下載，請第一時間轉移資產并卸載該軟件，必要時可通過官方驗證通道核實。

同時，如需使用錢包，請務必認準以下主流錢包 App 官方網址：

請持續關注慢霧安全團隊，更多 Web3 安全風險分析與告警正在路上。

致謝：感謝在溯源過程中 imToken 官方提供的驗證支持。

由于保密性和隱私性，本文只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。

慢霧科技

個人專欄

閱讀更多

金色薦讀

金色財經 善歐巴

Chainlink預言機

白話區塊鏈

金色早8點

Odaily星球日報

歐科云鏈

深潮TechFlow

MarsBit

Arcane Labs

Tags：WEBCOMETHAPKMETAWEB3PAComma Chain1eth幣等于多少人民幣bybit下載apk

AVAX