#来自一位黑客:关于天体交易所的深度解析,深挖之后发现了很多敏感权限以及不安全的网络环境。
#来自一位黑客:关于天体交易所的深度解析,深挖之后发现了很多敏感权限以及不安全的网络环境。
首先咱说这个高危权限:android.permission.INTERNET:功能允许应用创建网络连接,在不需要用户手动授权的情况。我追服务器以后发现,如果TTX涉及助记词它可能通过网络将助记词、私钥或者用户使用数据发送到远程服务器。
我们再看android:usesCleartextTraffic="true":允许明文HTTP通信,数据未加密,易被拦截或发送到不可信服务器。号称千亿的数据竟然不对数据加密,难以想象。接下来我又分析了一些常用模块,android.permission.READ_EXTERNAL_STORAGE / WRITE_EXTERNAL_STORAGE / READ_MEDIA_IMAGES / READ_MEDIA_VIDEO / READ_MEDIA_VISUAL_USER_SELECTED,功能就是读取外部储存和访问特定媒体文件,允许在屏幕上驻留,可监控屏幕使用。助记词可能以文本,截图,剪切板,二维码,硬件钱包特殊信道密钥,这些权限允许应用扫描并窃取。 #好多人偷懒都是记录截图帮忙保存的,恶意应用可能专门搜索这类文件。
android.permission.CAMERA 功能访问摄像头,助记词以二维码形式备份的,摄像头可用于扫描提取结合android.hardware.camera.autofocus这是高级相机功能可用于精确扫描,代码中有Camea和ZXing,数据处理逻辑有问题android.permission.REQUEST_INSTALL_PACKAGES / INSTALL_PACKAGES
功能安装其它Apk,不可信源下载恶意Apk.这是每个app的常用功能,忽略不想。
android.permission.READ_PHONE_STATE.读取设备IDIMEI电话状态等,生成用户唯一标识,结合助记词上传可追踪用户,勾画行动轨迹。
android.permission.ACCESS_NETWORK_STATE / ACCESS_WIFI_STATE / CHANGE_NETWORK_STATE / CHANGE_WIFI_STATE.管理网络和WIFI连接,如果和INTERNET协同,就能做到恶意通信,其它的阻止设备休眠,后台运行窃取任务,挂载卸载文件系统,访问隐藏文件夹,个人认为INTERNETCAMERASTORAGE,等于助记词扫描/读取上传数据方面的聊完了说说看法,这个Apk的特征分析,包名uni.UNIBA0FE5B随机且没意义,可能是混淆或者伪装,不过根据我分析了市面上主流的十大主流交易所,通常有品牌标识。咱再说说这个这万亿市值的框架搭建。io.dcloud.application.DCloudApplication,这小玩意叫DCloud(HBuilderX)是H5+原生混合开发平台,开发成本低,常见于山寨或快速上线应用。
以前多发于各类伪装原生钱包,窃取资产,无白皮书,团队介绍,技术细节,合法区块链项目,http://www.TTX.*** 仅仅为下载链接未搭载官方说明。粗制滥造,不像大家作风。网站也没SSL加密,下载Apk篡改风险很大。
TOP更是廉价顶级域名常用于临时或诈骗网站,域名也就是只续费了一年的,到2026年3月5号。ClipboardManager 这个大家陌生,但是我一说就熟悉了,剪贴板窃取,复制粘贴转换地址,但是没有明显的调用情况,只是有。
不愧为传销教父,完美符合庞氏骗局和传销特征,以高回报吸引用户掩盖资产,TTX开发成本忽略不计,随机包名更是没有可信度。
PS:这才叫专业~~麻烦大家都给这位黑客点个赞吧
订阅东南亚华人大事件
t.me/+BBYiL-g2KrJjNWFl
免费投稿爆料:@baofu821
