Doctor Web Pacific 江川です。
Codebookで表記の情報が公開されましたので、ご紹介します。
今回は、弊社のニュースを取り上げてくれた記事を紹介します。
格安のAndroidスマートフォンにプリインストールされたマルウェアにより、ユーザーの暗号資産が盗まれる被害が発生していました。問題のデバイスは「S23 Ultra」や「Note 13 Pro」など、あたかもハイエンド機のような名称と魅力的なスペックを装いながら、実際には旧式のAndroid OSを搭載し、悪意あるアプリが仕込まれていました。
中でも注目されるのが、偽のWhatsAppアプリになります。このアプリは「暗号クリッパー」として、ユーザーが送金時にコピーした暗号ウォレットのアドレスを攻撃者のアドレスにすり替える仕組みを持っていました。巧妙な点は、ユーザーの画面上には正しいアドレスが表示されるため、被害に気付きにくいということです。
さらにこのスパイウェアは、スマホ内の画像フォルダーも監視していました。多くのユーザーが保管しているウォレットのリカバリーフレーズのスクリーンショットを探し出し、資産の完全な乗っ取りを狙っていました。この攻撃では、WhatsAppだけでなくTelegramやTrust Walletなど約40種類のアプリの偽バージョンも確認されています。
最も深刻なのは、これがサプライチェーン攻撃である点です。つまり、感染は製造段階ですでに完了しており、ユーザーの手元に届く時点でマルウェアはすでに組み込まれている状態という事です。影響を受けたデバイスの多くは中国の無名ブランド製で、「SHOWJI」製品が全体の約3分の1を占めていたことが確認されています。
攻撃に使われた60台のサーバーと30のドメインを突き止めたが、攻撃者のウォレットにはすでに100万ドル以上の暗号資産が流れ込んでいると思われます。被害額の全容は、動的に生成される多数のウォレットによって未だ不明です。
なお、現在の主な標的はロシア語圏とされるが、同様の手口は過去にも世界中で確認されており、今後も拡大する可能性があります。ユーザーは、信頼できない販売元からのスマートフォン購入を避け、リカバリーフレーズやパスワードを非暗号化の形式で保存しないよう注意が必要です。。
(ニュース本文は以下をご覧ください)
https://codebook.machinarecord.com/threatreport/38342/
