ビットコインやイーサリアムなどの暗号資産(暗号通貨、仮想通貨)の下落がニュースになっていますが、こうした暗号資産のウォレットに、スマホやタブレットにアプリをインストールするモバイルウォレットアプリがあります。このモバイルウォレットのアプリになりすました悪意あるアプリについてスロバキアのサイバーセキュリティ企業、ESETがレポートしているので紹介したいと思います。
背後にテレグラムでやりとりする中国語グループ
ESETによると、悪意のある暗号資産ウォレットアプリは正規のサービスを模倣したウェブサイトで配布されており、ESETはこうした不正サイトを40以上特定しているということです。これら不正サイトでは、モバイルユーザーを対象にCoinbaseやimToken、MetaMask、TrustWallet、Bitpie、TokenPocket、OneKeyといった正規のウォレットになりすました悪意あるウォレットアプリが配布されているということです。それら悪意あるウォレットアプリは、実際にウォレットとして正規アプリと同じ機能を有しつつ、トロイの木馬化していて検出が困難な場所に悪意あるコードを挿入して秘密のシードフレーズを盗むということです。シードフレーズとは暗号通貨の出金などを行う際に必要な秘密鍵を生成するものですから、シードフレーズを盗んだサイバー犯罪者はそのアプリから自由に暗号通貨を盗み出すことができるようになります。
ESETによると、この悪意あるウォレットアプリをテレグラム使って宣伝しているグループがあり、このグループは中国語でやりとりをしており、ターゲットとなっているのも中国のユーザーだということです。この悪意あるウォレットアプリの配布に対しては、盗んだ暗号通貨の50%が手数料として配布者に提供されているようです。悪意あるウォレットアプリはAndroid、iOSともにあり、セキュリティで保護されていないHTTPプロトコルを使用して攻撃者のサーバーに秘密のシードフレーズを送信していることから、ネットワーク通信を盗聴した他の者がシードフレーズを盗んでアクセスする、中間者攻撃を受ける恐れもあるようです。
この悪意あるウォレットアプリのフロントエンドとバックエンドのコードが少なくとも中国の5つのウェブサイトといくつかのテレグラムのグループで公開されているということで、ESETは「コードが無料公開されているため、中国国外の他の攻撃者を引き付け、改善されたスキームでより広範囲に暗号通貨ウォレットが標的にされる恐れがある」と指摘しています。また、このサイバー犯罪の背後にいるとみられる中国語でやりとりしているテレグラムのグループは、すでに56ものfacebookのグループと共有されていて、宣伝が行われているということですから、悪意あるウォレットアプリの犯罪ネットワークが拡大している恐れがあります。
GooglePlayストアにJaxxLibertyWalletなりすましアプリも
また、この件とは別にESETによると、GooglePlayストアで暗号通貨ウォレットアプリのJaxxLibertyWalletになりすました13の悪意あるアプリが見つかり削除したということです。しかし、すでに1,100回以上インストールされていたようです。この悪意あるアプリは、シードフレーズを引き出して攻撃者のサーバーもしくは秘密のテレグラムのチャットグループに送信することを目的としていて、ウォレットアプリとしての正当な機能は有していなかったということです。
ESETは、公式のウェブサイトにリンクしているモバイルウォレットや取引所アプリを使用するように訴えています。Atlas VPNによると、ブロックチェーン関連のハッキングは年々増加しており、2022年第1四半期には過去最高の78件に達しているということです。サイバー犯罪者は様々な手口で暗号資産を窃取しようとしており、正規の暗号資産ウォレットアプリを偽装した悪意あるアプリの配布についても、さらに拡大していくことが懸念されます。
■出典
https://atlasvpn.com/blog/blockchain-hackers-stole-nearly-700-million-in-q1-2022