天体交易所APP #天体币

天体确实有盗u的嫌疑，群友们注意别安装了未经证实的APP。

关于天体交易所的深度解析，深挖之后发现了很多敏感权限以及不安全的网络环境。

首先咱说这个高危权限：android.permission.INTERNET:功能允许应用创建网络连接，在不需要用户手动授权的情况。我追服务器以后发现，如果TTX涉及助记词它可能通过网络将助记词、私钥或者用户使用数据发送到远程服务器。

我们再看android:usesCleartextTraffic="true":允许明文HTTP通信，数据未加密，易被拦截或发送到不可信服务器。号称千亿的数据竟然不对数据加密，难以想象。接下来我又分析了一些常用模块，android.permission.READ_EXTERNAL_STORAGE / WRITE_EXTERNAL_STORAGE / READ_MEDIA_IMAGES / READ_MEDIA_VIDEO / READ_MEDIA_VISUAL_USER_SELECTED，功能就是读取外部储存和访问特定媒体文件，允许在屏幕上驻留，可监控屏幕使用。助记词可能以文本，截图，剪切板，二维码，硬件钱包特殊信道密钥，这些权限允许应用扫描并窃取。 #好多人偷懒都是记录截图帮忙保存的，恶意应用可能专门搜索这类文件。

android.permission.CAMERA 功能访问摄像头，助记词以二维码形式备份的，摄像头可用于扫描提取结合android.hardware.camera.autofocus这是高级相机功能可用于精确扫描，代码中有Camea和ZXing，数据处理逻辑有问题android.permission.REQUEST_INSTALL_PACKAGES / INSTALL_PACKAGES
功能安装其它Apk，不可信源下载恶意Apk.这是每个app的常用功能，忽略不想。

android.permission.READ_PHONE_STATE.读取设备ID IMEI电话状态等，生成用户唯一标识，结合助记词上传可追踪用户，勾画行动轨迹。

android.permission.ACCESS_NETWORK_STATE / ACCESS_WIFI_STATE / CHANGE_NETWORK_STATE / CHANGE_WIFI_STATE.管理网络和WIFI连接，如果和INTERNET协同，就能做到恶意通信，其它的阻止设备休眠，后台运行窃取任务，挂载卸载文件系统，访问隐藏文件夹，个人认为INTERNET➕CAMERA➕STORAGE，等于助记词扫描/读取➕上传数据方面的聊完了说说看法，这个Apk的特征分析，包名uni.UNIBA0FE5B随机且没意义，可能是混淆或者伪装，不过根据我分析了市面上主流的十大主流交易所，通常有品牌标识。咱再说说这个这万亿市值的框架搭建。io.dcloud.application.DCloudApplication，这小玩意叫DCloud（HBuilderX）是H5+原生混合开发平台，开发成本低，常见于山寨或快速上线应用。

以前多发于各类伪装原生钱包，窃取资产，无白皮书，团队介绍，技术细节，合法区块链项目，http://www.TTX.*** 仅仅为下载链接未搭载官方说明。粗制滥造，不像大家作风。网站也没SSL加密，下载Apk篡改风险很大。

TOP更是廉价顶级域名常用于临时或诈骗网站，域名也就是只续费了一年的，到2026年3月5号。ClipboardManager 这个大家陌生，但是我一说就熟悉了，剪贴板窃取，复制粘贴转换地址，但是没有明显的调用情况，只是有。

不愧为传销教父，完美符合庞氏骗局和传销特征，以高回报吸引用户掩盖资产，TTX开发成本忽略不计，随机包名更是没有可信度。

明天就是4月1了，希望群友不要出现以上情况👆