Android

SpyAgentと名付けられた新しいAndroidマルウェアは、光学式文字認識(OCR)技術を使用して、モバイルデバイスに保存されているスクリーンショットから暗号通貨ウォレットのリカバリーフレーズを盗み出す。

暗号通貨リカバリーフレーズ(シードフレーズ)とは、暗号通貨ウォレットのバックアップキーとして機能する12~24の単語のシリーズである。これらのフレーズは、デバイスを紛失した場合、データが破損した場合、または新しいデバイスにウォレットを転送したい場合に、暗号通貨ウォレットとその全資金へのアクセスを復元するために使用されます。

これらの秘密のフレーズは、脅威行為者によって非常に求められています。なぜなら、もし彼らがこのフレーズにアクセスすることができれば、自分のデバイス上であなたのウォレットを復元し、その中に保存されているすべての資金を盗むために使用することができるからです。

リカバリ・フレーズは12~24語で、覚えるのが難しいため、暗号通貨ウォレットは、単語を保存または印刷して安全な場所に保管するよう人々に伝えている。より簡単にするために、リカバリーフレーズのスクリーンショットを撮り、携帯端末の画像として保存する人もいる。

McAfeeが発見したマルウェアの動作は、SMSや悪意のあるソーシャルメディアへの投稿を使用してGoogle Play以外で配布された少なくとも280のAPKにさかのぼります。このマルウェアは、OCRを使用してAndroidデバイスに保存された画像から暗号通貨の回収フレーズを回収することができるため、重大な脅威となっている。

Androidアプリケーションの中には、韓国や英国の政府サービス、出会い系サイト、ポルノサイトを装ったものもある。

この活動は主に韓国を標的としていましたが、McAfeeは、英国への暫定的な拡大を観測しており、iOSの亜種が初期の開発段階にある可能性があることを示唆しています。

Timeline of the campaign
SpyAgent キャンペーンのタイムライン
Source:マカフィー

2023年7月、トレンドマイクロは、Google Play経由で拡散されたCherryBlosとFakeTradeという2つのAndroidマルウェア・ファミリーを明らかにしました。

SpyAgentのデータ抽出

新しいデバイスに感染すると、SpyAgentは以下の機密情報をコマンド・アンド・コントロール(C2)サーバーに送信し始める:

  • 被害者の連絡先リスト(信頼できる連絡先から発信されたSMSを介してマルウェアを配布するためと思われる)。
  • ワンタイムパスワード(OTP)を含む着信SMSメッセージ。
  • OCRスキャンに使用するためにデバイスに保存された画像。
  • 攻撃を最適化するための一般的なデバイス情報。

SpyAgentは、C2からサウンド設定を変更したり、SMSメッセージを送信したりするコマンドを受信することもできます。これは、マルウェアを配布するためのフィッシング・テキストの送信に使用される可能性があります。

OCR scan results
C2サーバー上のOCRスキャン結果
出典:McAfee:マカフィー

露出したインフラ

McAfee は、SpyAgent キャンペーンの運営者がサーバーの設定において適切なセキュリティ慣行に従っていなかったため、研究者がサーバーにアクセスできたことを発見しました。

管理パネルのページや被害者から盗んだファイルやデータには簡単にアクセスできたため、McAfeeはこのマルウェアが複数の被害者を出していることを確認できました。

One of the attackers' panel
攻撃者のパネルの1つ
Source:マカフィー

盗まれた画像はサーバー側で処理され、OCRスキャンされた後、ウォレットハイジャック攻撃で簡単に管理し、すぐに利用できるように管理パネル上で適宜整理されます。

Code that performs the OCR scanning on the server
画像の OCR スキャンを実行するコード
出典:McAfee:マカフィー

Androidでこのリスクを軽減するには、マルウェアの配布によく使われるGoogle Play以外のAndroidアプリをインストールしないことが重要です。

さらに、ユーザーはAPKダウンロードURLを指すSMSメッセージを無視し、アプリのコア機能とは無関係と思われる危険なパーミッションを取り消す必要がある。

最後に、Google Playプロテクトスキャンを定期的に実施し、マルウェアとして検出されたアプリがないかチェックする必要があります。