藏海花如何在iOS/Android Web3钱包中安装后门以窃取你的种子短语

本文属于老雅痞原创文章，转载规矩不变，给我们打声招呼～

转载请微信联系：huangdiezi，更多DAO、Web3、NFT、元宇宙资讯

请关注公众号老雅痞，网站https://allrecode.com/点击阅读原文进网站查看更多资讯。

来源：Medium，作者 taha aka "lordx64" 供职于confiant.com

照片由 Sara Kurfe 在 Unsplash 上提供

在 Confiant 工作期间，我们每天都会看到恶意活动。对我们来说最重要的是能够：

保护我们现有的客户。

分享独特的威胁情报。

不断寻找独特的有利位置以进行更好的检测。

在Confiant，我们每天监控25亿多条广告，这要归功于我们在广告堆栈中的110多个集成，使我们能够保护40K高级网站免受不良广告的影响。

这本身就使我们对渗入广告堆栈和更广泛的互联网的恶意活动有很大的可见性，由我们的专有解密技术提供支持。这包括所有通过它的web3恶意活动的漏斗。

我们检测的种类和范围使我们能够在独特的恶意活动浮出水面时立即检测出来。SeaFlower就是这种针对web3钱包用户的独特的恶意活动集群的一个例子，我们将在这篇博文中记录。

什么是SeaFlower？

SeaFlower是我们今年早些时候在2022年3月发现的一个活动集群。我们相信SeaFlower是技术上最复杂的针对web3用户的威胁，紧随臭名昭著的Lazarus集团之后。

选择名为 "SeaFlower "的活动集群是有原因的。在metamask应用程序的原始Mach-O中注入的一个.dyli文件，包含了xcode衍生数据的完整路径，泄露了一个macOS用户名："Zhang Haike"。

作者用户名泄露

注意：其他库也犯了同样的错误，这些库帮助泄露了更多 macOS 用户名，我们从而发现了一组与 SeaFlower 相关的角色。

自然，下一步是在谷歌上搜索 "Zhang Haike"，它提供了许多讲中文的参考资料，包括这个我觉得很有趣的参考资料：它是一部中国小说《藏海花》中一个人物的名字。

这些讲中文的参考资料符合这场大型运动的背景，并暗示与一个讲中文的实体有很强的关系，但尚未被揭开：

被揭发的macOS用户名是中文名字

后门代码中的源代码注释是用中文写的。

所使用的修改/挂接框架在讲中文的修改社区很常见，因为这些框架的许多教程和使用例子都是中文的，而且这些工具的作者也是讲中文的。

我们发现在中国的IP地址空间和中国香港地区的IP地址空间中，除了以.cn顶级域名注册的域名外，还发现了供应档案、签署基础设施和应用程序供应基础设施。注意：签名基础设施和供应基础设施可能与SeaFlower有直接关系，也可能没有，因为它可能被滥用或只是作为一种服务使用。

我们发现了多个克隆网站（模仿官方钱包网站），这些网站最初托管在香港的IP地址空间内

被滥用的CDN是阿里巴巴

大多数针对的搜索引擎都是中文搜索引擎。

目前，SeaFlower 的主要目标是使用后门代码修改 web3 钱包，最终泄露种子短语。

目标 web3 钱包如下：

Coinbase 钱包（iOS、Android）

MetaMask 钱包（iOS、Android）

TokenPocket（iOS、Android）

imToken (iOS, Android)

注意：上面的钱包是 100% 安全的，你可以安全地使用它们。但与任何其他优秀且非常流行的软件一样，它们也容易受到修改、逆向工程和后门的影响。SeaFlower 通过修改原始钱包来分发这些钱包的后门版本。

任何被引诱下载SeaFlower欺诈钱包的用户最终都将失去他们的资金。我们提供了每个被分析的反欺诈钱包的SHA-256，以帮助我们的社区识别这些反欺诈钱包和它们的多种变种。

SeaFlower的运作方式

看看这个新集群中的各种攻击，它们有一些共同点：SeaFlower没有以任何方式改变钱包的原始功能，而是添加代码来渗出种子短语，并使用不同的技术来做，复杂性不断增加，我们希望在这篇博文中有所记录。

用户体验、用户界面和所有的钱包功能都没有变化，正常/高级用户在手机上使用该应用程序时不会注意到任何问题：它是来自AppStore/Play Store的合法应用程序，但其中有一个偷偷摸摸的后门。

但是，如果监测主动网络请求，就会发现有一个网络请求被发送到看起来很奇怪的域，例如，我们已经看到被后门的钱包通过HTTPS向trx.lnfura[.]org（模仿infura.io）或metanask[.]cc（模仿metamask.io）发送流量。

通过设置一个MITM代理，我们可以解密HTTPS流量，并发现种子短语、钱包地址和余额被发送到攻击者那里：

拦截SeaFlower后门的HTTPS流量

但这是如何做到的呢？我们必须对应用程序进行逆向工程，以确定SeaFlower用来使这些合法应用程序在后台出现恶意行为的所有技术。

SeaFlower与我们追踪的其他web3入侵集有很大的不同，从现有的基础设施来看，几乎没有重叠，但从技术能力和协调的角度来看也是如此。反向工程的iOS和Android应用程序，修改它们，配置和自动部署。

SeaFlower还通过建立假的克隆网站来处理应用程序的分发阶段，在那里可以下载这些被反封锁的钱包。被识别的网站是合法网站的完美克隆，并提供下载链接：

imToken 克隆网站（由 DomainTools 提供）托管在：appim[.]xyz

克隆 Metamask 网站，托管在：https://74871011[.]huliqianbao[.]com/download.html

克隆的 Coinbase 钱包网站托管在 som-coinbase[.]com

托管在 fastrpo[.]com 上的克隆token pocket网站

注：令人惊讶的是，我们没有发现从这些克隆网站上交付的反欺诈的Chrome扩展，所有的链接都指向Chrome Webstore中真正的Chrome扩展，所以到目前为止，虚假的Chrome扩展交付不是SeaFlower入侵集的一部分或没有被识别。

对于iOS，SeaFlower正在使用配置文件。一旦安装，iOS应用程序就会被侧载到受害者的手机上并安装。以下是我们记录的一些步骤，通常是受害者使用iPhone浏览SeaFlower网站时看到的情况：

安装了多个后门钱包的 iPhone

注意：我们在此活动的早期阶段向 Apple 报告了与这些配置文件相关联的所有 Apple 开发人员 ID（苹果已经撤销了它们）。我们计划继续定期向 Apple 威胁情报团队报告此活动。

最后一个要回答的问题是，用户是如何被锁定并转到这些提供欺诈钱包的网站的？简短的答案——搜索引擎。事实上，搜索引擎是我们迄今为止发现的SeaFlower的明显入口之一，它将移动用户重定向到假的/克隆的钱包下载网站。特别是，百度搜索引擎的结果是这些攻击的初始载体之一。

百度公司是一家拥有搜索引擎的中国跨国人工智能技术公司。我们有兴趣看看在该搜索引擎中是否有任何SEO或针对coinbase或metamask用户的内容。

我们搜索 "下载metamask ios"，第一个结果页上的一个百度链接将我们重定向到token18[.]app网站，这是SeaFlower Drive-by下载页面，很贴心！"。