Smartphone

FBIは、人気のモバイルアプリストアで仮想通貨投資アプリの悪意のある「ベータ版」を宣伝し、その後仮想通貨を盗むために使用するというサイバー犯罪者による新たな戦術について警告している。

脅威アクターは、悪意のあるアプリを「ベータ版」としてモバイル アプリ ストアに送信します。これは、それらが初期の開発段階にあり、ソフトウェアが正式にリリースされる前に、技術愛好家やファンがテストして開発者にフィードバックを送信するために使用することを目的としています。 。

このアプローチの利点は、ベータ アプリが標準の厳格なコード レビュー プロセスを経ず、代わりに表面的に安全性が精査されることです。

この完全性の低いコード レビュー プロセスでは、インストール後にアクティベートしてさまざまな敵対的なアクションを実行する、隠された悪意のあるコードを発見するには不十分です。

「悪意のあるアプリにより、個人識別情報 (PII) の盗難、金融口座へのアクセス、デバイスの乗っ取りが可能になります」と FBI は説明しています

「人気アプリに似た名前、画像、説明を使用することで、アプリが正規のものであるかのように見える場合があります。」

通常、アプリは暗号通貨投資やデジタル資産管理ツールを模倣し、ユーザーに正規のアカウントの詳細を入力したり、投資のための資金を入金したりするよう求めます。

被害者は、フィッシング詐欺やロマンス詐欺を使ったソーシャル エンジニアリングを通じてこれらのアプリに誘導されますが、これらのアプリは信頼できるアプリ ストアでホストされているため、正規のもののように見えます。

ソフォスは、2022 年 3 月に、開発者が iOS でテストするためのベータ版アプリを配布するのを支援するために作成されたプラットフォームである Apple の TestFlight システムを悪用する詐欺師について警告するレポートの中でこの問題を初めて文書化しました。

より最近のソフォスのレポートでは、仮想通貨投資詐欺アプリを装った「CryptoRom」と呼ばれる悪意のあるアプリ キャンペーンについて調査しています。これらのアプリは Apple TestFlight システムを通じて宣伝されており、脅威アクターはこれをマルウェア配布のために悪用し続けています。

感染プロセス
感染プロセス(ソフォス)

攻撃者は最初に、テスト フライトで使用するために、正規のアプリのように見えるものを iOS アプリ ストアにアップロードします。

ただし、アプリが承認されると、脅威アクターはアプリで使用される URL を悪意のあるサーバーを指すように変更し、アプリに悪意のある動作を導入します。

偽の仮想通貨アプリ
偽の仮想通貨アプリ
出典: ソフォス

Google の Play ストアは、ベータ テスト アプリの提出もサポートしています。ただし、そこでもより寛大なコードレビュープロセスが行われるかどうかは不明です。

FBIは、アプリストアでユーザーレビューを読んで、アプリの発行元が信頼できるかどうかを常に確認し、ダウンロード数が非常に少ないソフトウェアやダウンロード数が多く、ユーザーレビューが非常に少ない、またはまったくないソフトウェアを避けるようアドバイスした。

ユーザーは、新しいアプリのインストール段階でも注意し、そのソフトウェアのコア機能に関係がないと思われるものがないか、要求された権限を調べる必要があります。

デバイス上のマルウェアの一般的な兆候には、異常に高いバッテリー消耗率、インターネット データ消費量の増加、ポップアップ広告の突然の表示、パフォーマンスの低下、過熱などがあります。