This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
專家がスパイウェアが注文アプリに偽装され、暗号化されたウォレットのニーモニックを盗むことを発見しました
カスペルスキーのハッキング専門家は、Apple Storeで隠れたスパイウェアを発見しました。ComeComeというiOSの注文アプリに悪意のあるスパイウェアが出現しました。この注文アプリはGoogle Playからもダウンロードできます。その目的は、暗号資産ウォレットのニーモニックフレーズを盗むことで、暗号資産を窃取することです。
カスペルスキーの分析専門家、Dmitry KalininとSergey Puzanは、このアプリケーションが被害者の暗号資産のキーを詐欺グループに転送することも示しています。カスペルスキーの研究者によれば、この注文アプリは悪意のあるSDKフレームワークが埋め込まれており、指定されていない時点で光学文字認識(OCR)プラグインをアンロックすることができます。OCRコードが動作し始めると、アプリはモバイルデバイス上のスクリーンショットを検索し、暗号資産ウォレットのニーモニックフレーズをスキャンし、スパイウェアがニーモニックフレーズを盗み、ユーザーのウォレット内の暗号資産を盗みます。
専門家は、シードフレーズが犯罪組織に盗まれたため、アプリの背後にある犯罪組織が被害者の暗号資産ウォレットを制御し、資金を移動することができると述べています。そのため、シードフレーズを厳重に保管し、オフラインでアクセスすることが最善であり、スマートフォンの画面のスクリーンショットのみで記録するべきではありません。
AppleはCome Come配達アプリをすでに取り下げましたが、Google PlayやAppleのApp Storeでも、アプリ内に含まれる悪意のあるソフトウェアに気づかれませんでした。現在、アプリストアにはCome Comeのような見かけによらず正常に見えるアプリが複数あり、これらのアプリは審査をすり抜けています。Apple Storeなどの信頼されるアプリストアですら審査を騙すことができ、一般的に使用されているように見えるこれらのアプリは、悪意のあるソフトウェアSparkCatが埋め込まれており、機密情報や暗号化ウォレットのニーモニックフレーズを盗み取っています。
悪意ソフトウェア SparkCat は、パスワードとシードフレーズを専門に盗みます
專家はシードフレーズを盗む悪意のあるソフトウェアを SparkCat と名付け、それが非常に柔軟であることを指摘しました。シードフレーズだけでなく、他の機密データも携帯電話のギャラリーから盗むことができ、例えば、スクリーンショットのメッセージやパスワードなどです。
カスペルスキーチームによると、犯罪グループの標的は明らかにヨーロッパとアジアのAndroidおよびiOSユーザーです。Google Playストアには242,000回以上ダウンロードされたSparkCatが埋め込まれたアプリがまだ多数あります。
SparkCatがこれらのアプリに侵入したのか、アプリ開発チーム自体が詐欺グループなのかを確認することはできません。AppleはiOSストアからComeCome APPを削除し、Google Playストアでも問題のあるこのアプリを削除しました。しかし、専門家はまだ多くの正常に見えるビジネスアプリがストアに隠れており、知らないユーザーによってダウンロードされる可能性があることを心配しています。
SparkCatはどのように動作しますか?
SparkCat は、Spark という名前の高度に難読化されたモジュールを持つ悪意のあるアプリケーションを指します。このスパイウェアは主にJavaで書かれており、Rustを使用して識別されないプロトコルとそのリモートコマンドおよび制御(C2)サーバーと通信します。
C2 サーバーに接続した後、Android 版の Spark は Google ML Kit ライブラリ内の Text Recognizer インターフェースのラッパーをダウンロードして使用し、画面から文字を抽出します。この悪意のあるソフトウェアは、システム言語に応じて異なる OCR モデルを読み込んで、画像内のラテン語、韓国語、中国語、または日本語を識別します。このアプリと接触すると(注:正規の第三者の Easemob Help Desk SDK を介して)、アプリは携帯電話の画像ライブラリにアクセスするよう要求します。悪漢がアクセス権を取得すると、OCR を使用して画面のスクリーンショットをスキャンし、暗号化されたウォレットのニーモニックフレーズを盗み、C2 サーバーに送信します。
悪意のあるスパイウェアをどのように防ぐか?
暗号化ウォレットのニーモニックフレーズを紙に書いてメモすることは、ニーモニックフレーズを保護する最も古い方法です。多くの人々は便利さのためにスマートフォンでスクリーンショットを撮ることがありますが、専門家はこの方法は危険だと考えています。不明な出所のアプリをダウンロードしないだけでなく、常にアプリのアクセス許可をチェックし、録音、録画、画面キャプチャの機能が不正にオンになっていないか確認する必要があります。多くのアプリはダウンロード時にユーザーにこれらの許可を開放するよう求めますが、常にチェックし、アプリを使用しない場合はアクセス許可を閉じて、第三者のアプリがアクセスできないようにすることが基本的なセキュリティ対策となります。
この記事では、専門家がスパイウェアが注文アプリに偽装され、 暗号化ウォレットシードフレーズを盗むことが発見されたことが初めて報じられました。