セキュリティ企業カスペルスキーの2月4日の報告によると、新しいマルウェアSparkCatが、AndroidおよびiOSの暗号通貨利用者の両方にとって課題となっています。 このマルウェアは、無害であるように見える他のアプリケーションに埋め込まれて現れました。さらに、洗練された手法によって、ユーザーの重要な詳細をモバイルデバイスから取得します。
SparkCatは、暗号ウォレットの復旧フレーズをスキャンするために、デバイスのギャラリーに保存されている画像をスキャンします。これは、画像からテキストをキャプチャする技術である光学式文字認識を通じてスキャンを行います。ウォレットに関連するスクリーンショットやメモを保存しているユーザーは、データの漏洩の潜在的な被害者となります。
このマルウェアは2024年3月に動作を開始し、Google PlayストアとAppleが運営するApp Store上のAIメッセージングアプリやフード注文サービスを含むアプリケーションに感染しました。興味深いことに、このOCRを利用したマルウェアがAppleデバイスを使用して暗号通貨を盗むのは初めてです。###
Androidでは、JavaベースのSDKであるSparkを介して広がり、解析モジュールと偽装され、アプリに注入されます。ユーザーが感染したアプリを起動すると、マルウェアはリモートのGitLabリポジトリから暗号化された設定ファイルを取得します。
SparkCatがアクティブ化されると、Google ML KitのOCR機能を使用して、デバイスのギャラリー内の画像をスキャンします。それは、英語、中国語、日本語、韓国語、およびいくつかのヨーロッパの言語を含む、暗号通貨ウォレットの回復フレーズに関連するキーワードを検索します。KasperSkyが報告しました。
このマルウェアは、盗まれたデータを外部に持ち出すために、攻撃者が制御するサーバーに画像を送信します。転送方法には、Amazonクラウドストレージを使用することが含まれ、Rustベースのプロトコルも利用されます。これにより、暗号化された通信チャネルと通常とは異なるデータ伝送技術が関与するため、追跡が非常に困難です。
悪意のあるフレームワークによる iOS の侵害
SparkCatのiOSバリアントは、GZIP、googleappsdk、またはstatなどのさまざまな名前のフレームワークとして、侵害されたアプリケーション内に埋め込まれているため、異なる方法で機能します。この悪意のあるフレームワークはObjective-Cで書かれており、HikariLLVMを使用して難読化され、デバイスギャラリーの画像解析のためにGoogle ML Kitを統合しています。
Android版とは異なり、iOS版では、マルウェアは、感染したアプリ内でサポートチャットを開くなど、特定のアクションがユーザーによって実行された場合にのみ、写真ギャラリーへのアクセスを要求します。これにより、マルウェアはウォレット関連情報を取得できる一方で、疑いを最小限に抑えることができます。
Kasperskyのレポートによると、回復フレーズ以外にも、マルウェアは他の機密データを盗むことができます。これには、保存されたパスワードやスクリーンショットでキャプチャされたメッセージの内容が含まれます。セキュリティ専門家は、SparkCatが既に24万2千以上のデバイスを侵害していると推定しています。これらのデバイスは、主にヨーロッパとアジアに基づいています。
しかし、マルウェアの起源は不明です。コードのコメントやエラーメッセージに基づいて、開発者が中国語を話していることが判明しています。仮想通貨ユーザーへのマルウェア攻撃は、アプリマーケットプレイスによって課されたセキュリティ対策を繰り返し迂回する方法を繰り返してエスカレートしています。
2024年9月、Binanceはコピーされたウォレットアドレスを攻撃者のコントロール下のものと置き換えるClipperマルウェアを検出しました。これにより被害者は詐欺的な宛先に知らず知らずのうちに資金を送ってしまいます。先日議論したように、昨年2024年には投資家が暗号詐欺やハッキングで30億ドル以上を失いました
