ITセキュリティ企業チェック・ポイント・リサーチは、Google Playストアで「高度な回避技術」を使用して5か月間で7万ドル以上を盗んだ暗号通貨ウォレットドレインマルウェアを発見した。
この悪意あるアプリは、さまざまな暗号通貨ウォレットを分散型金融(DeFi)アプリケーションにリンクできる、暗号通貨業界ではよく知られたアプリである WalletConnect プロトコルを装っていました。
同社は9月26日のブログ投稿で、今回の広告配信停止措置は「モバイルユーザーだけをターゲットにした初めての広告配信」だと述べた。
「偽のレビューと一貫したブランディングにより、アプリは検索結果で上位にランクされ、1万回以上のダウンロードを達成した」とチェック・ポイント・リサーチは述べた。
150人以上のユーザーが約7万ドルを騙し取られたが、ウォレットを接続していなかったり、詐欺だと気付かなかったりしたユーザーもいたため、アプリユーザー全員が標的になったわけではない。チェック・ポイント・リサーチは、「マルウェアの特定の標的基準を満たしていなかった可能性がある」と述べている。
偽のWalletConnectアプリの偽のレビューの中には、暗号通貨とはまったく関係のない機能について言及しているものもあった。出典:Check Point Research
同社はまた、偽アプリは3月21日にグーグルのアプリストアで公開され、「高度な回避技術」を使って5か月以上も検出されずにいたと付け加えた。現在は削除されている。
このアプリは当初「Mestox Calculator」という名前で公開され、何度か変更されましたが、そのアプリケーション URL は依然として、一見無害な計算機付き Web サイトを指していました。
「この手法により、自動および手動のチェックによって『無害な』計算機アプリケーションが読み込まれるため、攻撃者はGoogle Playのアプリ審査プロセスを通過できる」と研究者らは述べている。
しかし、ユーザーの IP アドレスの場所やモバイル デバイスを使用しているかどうかに応じて、ウォレットを空にするソフトウェア MS Drainer が格納されている悪意のあるアプリのバックエンドにリダイレクトされました。
偽の WalletConnect アプリが特定のユーザーの資金を流出させる仕組みを示した図。出典: Check Point Research
他のウォレット流出詐欺と同様に、偽の WalletConnect アプリはユーザーにウォレットを接続するよう促しましたが、本物のアプリの仕組みからすると、これは疑わしいものではありませんでした。
その後、ユーザーは「ウォレットを検証する」ためのさまざまな許可を求められ、これにより攻撃者のアドレスに「指定された資産の最大額を送金する」許可が与えられるとチェック・ポイント・リサーチは述べた。
「このアプリケーションは被害者のウォレットにあるすべての資産の価値を取得します。まずは高価なトークンを引き出そうとし、その後に安価なトークンを引き出そうとします」と付け加えた。
「この事件は、サイバー犯罪者の戦術がますます巧妙化していることを浮き彫りにしている」とチェック・ポイント・リサーチは記している。「この悪質なアプリは、権限やキーロギングなどの従来の攻撃ベクトルに頼っていなかった。その代わりに、スマートコントラクトとディープリンクを使用して、ユーザーがアプリを使用するように誘導すると、密かに資産を流出させていた。」
さらに、ユーザーは「たとえ正規のアプリに見えても、ダウンロードするアプリには注意する」必要があり、アプリストアは悪質なアプリを阻止するために検証プロセスを改善しなければならないと付け加えた。
「暗号通貨コミュニティは、Web3テクノロジーに伴うリスクについてユーザーを啓蒙し続ける必要がある」と研究者らは述べた。「この事例は、一見無害なやり取りでさえも、大きな経済的損失につながる可能性があることを示している。」
Googleはコメントの要請にすぐには応じなかった。
暗号セキュリティ:2人の監査人が2,700万ドルのペンパイの欠陥とピシアの「報酬請求」バグを見逃す