ゲッティイメージズ
研究者らは、光学文字認識を使用して感染したデバイスから暗号通貨ウォレットの認証情報を盗むAndroid向けの悪意のあるアプリを280以上発見した。
これらのアプリは、銀行、政府機関、テレビストリーミングサービス、公共事業会社などの公式アプリを装っています。実際、これらのアプリは感染した携帯電話からテキストメッセージ、連絡先、保存されているすべての画像を探し出し、アプリ開発者が管理するリモートサーバーに密かに送信します。これらのアプリは悪質なサイトから入手でき、ターゲットに送信されるフィッシングメッセージで配布されます。これらのアプリが Google Play から入手できたという証拠はありません。
高度な洗練性
新たに発見されたマルウェア キャンペーンで最も注目すべき点は、その背後にいる脅威アクターが光学文字認識ソフトウェアを使用して、感染したデバイスに保存されている画像に表示される暗号通貨ウォレットの認証情報を抽出しようとしていることです。多くのウォレットでは、ユーザーが一連のランダムな単語でウォレットを保護できます。ニーモニック認証情報は、ほとんどの人にとって、秘密鍵に表示される文字の羅列よりも覚えやすいものです。また、人間は画像内の単語を認識しやすいです。
セキュリティ企業マカフィーの研究員サンリョル・リュウ氏は、悪意あるアプリによって盗まれたデータを受け取ったサーバーに不正アクセスし、この事実を発見した。このアクセスは、サーバー導入時に行われたセキュリティ設定の弱さによるものだった。これにより、リュウ氏はサーバー管理者が閲覧可能なページを読むことができた。
下の画像に表示されているページは、特に興味深いものでした。ページ上部に単語のリストが表示され、その下には感染した携帯電話から撮影された対応する画像が表示されていました。画像に視覚的に表された単語は、同じ単語に対応していました。
” src=”https://cdn.arstechnica.net/wp-content/uploads/2024/09/c2-server-page-640×706.png” width=”640″ height=”706″ srcset=”https://cdn.arstechnica.net/wp-content/uploads/2024/09/c2-server-page.png 2x”/>
マカフィー
「ページを調べたところ、攻撃者の主な目的は仮想通貨ウォレットのニーモニックリカバリフレーズを入手することだったことが明らかになった」とリュウ氏は書いている。「これは、被害者の仮想通貨資産にアクセスし、場合によっては使い果たすことに重点を置いていることを示唆している。」
光学文字認識は、入力、手書き、または印刷されたテキストの画像を機械でエンコードされたテキストに変換するプロセスです。OCR は長年にわたって存在しており、画像にキャプチャされた文字をソフトウェアで読み取り、操作できる文字に変換する手段としてますます一般的になっています。
リュウは続けた。
この脅威は、サーバー側で Python と Javascript を使用して盗んだデータを処理します。具体的には、光学文字認識 (OCR) 技術を使用して画像がテキストに変換され、管理パネルで整理および管理されます。このプロセスは、盗んだ情報の取り扱いと利用が高度に洗練されていることを示しています。
マカフィー
悪意のあるアプリをインストールしてしまったのではないかと心配な人は、McAfee の投稿で関連する Web サイトと暗号化ハッシュのリストを確認してください。
このマルウェアは、時間の経過とともに複数のアップデートを受けています。かつては制御サーバーとの通信に HTTP を使用していましたが、現在はセキュリティ ソフトウェアが解析するのが難しいメカニズムである WebSocket を介して接続します。WebSocket には、より汎用性の高いチャネルであるという利点もあります。
マカフィー
開発者らは、悪意ある機能をより難読化するためにアプリを更新した。難読化の方法には、コード内の文字列をエンコードして人間が簡単に解読できないようにする、無関係なコードを追加する、関数や変数の名前を変更するなどがあり、これらはすべてアナリストを混乱させ、検出を困難にする。このマルウェアは主に韓国に限定されているが、最近は英国内でも広がり始めている。
「この展開は、脅威アクターが人口統計的にも地理的にもその活動範囲を広げていることを示しているため、重要である」とリュウ氏は書いている。「英国への進出は、攻撃者が意図的に活動範囲を広げようとしていることを示している。おそらく、マルウェアのローカライズ版を使って新しいユーザーグループを狙っているのだろう。」