仮想通貨ウォレットを空にする攻撃は数多くあるが、最新の攻撃では、単一の攻撃で怪しいアプリをダウンロードした人々から7万ドルが盗まれた。研究者らはこれを世界初だと表現している。
Google PlayストアでWeb3ユーザーを狙った詐欺アプリが、分散型アプリケーションとウォレットの接続に使用される正規のWalletConnectプロトコルの知名度と評判に便乗していました。このアプリはPlayストアに公式アプリが存在しません。
CPR によると、このアプリの被害者は合計約 150 人だが、Play ストアに否定的なレビューを残したのはわずか 20 人だったという...
チェック・ポイント・リサーチ(CPR)の調査員らは、「WalletConnect」と呼ばれるこのアプリは、アプリタイル画像にオープンソースプロジェクトの公式ロゴを使用しており、モバイルユーザーだけをターゲットにしたこの種のデータ漏洩アプリとしては初となると述べた。
私たちがお手伝いします
このアプリの背後にいる攻撃者は、明らかに市場をよく理解していました。彼らは、本物のWalletConnectプロトコルを使用するユーザーが遭遇する一般的な問題として、バージョンの互換性や、一般的に使用されているウォレットによるプロトコルの普遍的なサポートの欠如などがあることを理解していました。
CPRによると、この詐欺アプリはこうした問題を簡単に解決できると謳っていたが、Playストアに公式アプリが存在しない上に、その効果を謳う偽レビューが相次いだため、相当数のユーザーを騙す可能性があったという。実際、その数は1万人以上に上る。
だからといって、これらのダウンロードのすべてが被害につながったわけではありません。実際は、全く違います。CPRは150以上のアドレスに紐付けられた取引を検証しており、ウォレットが盗まれた人の数はそれだけ多いことが示唆されています。
アプリをダウンロードすると、信頼できるものであり、サポートされている Web3 アプリケーションへのスムーズで安全なアクセスが可能になるという想定の下、被害者は暗号通貨が入ったウォレットをリンクするように求められました。
攻撃チェーンのインフォグラフィック表示 - Check Point Research 提供 - クリックして拡大
その後、ウォレットを選択した後、様々な取引を承認するよう指示されました。ウォレットを選択すると、アプリは悪意のあるウェブサイトに誘導し、ウォレット自体、ブロックチェーン、そして既知のアドレスに関する詳細情報を盗み取りました。
スマート コントラクトの仕組みを悪用することで、攻撃者は被害者のウォレットから自分のウォレットへのトークンの転送を承認し、価値の低い暗号通貨トークンよりも価値の高い暗号通貨トークンの転送を優先することができました。
CPR は、このアプリの被害者約 150 人のうち、Play ストアに否定的なレビューを投稿したのはわずか 20 人だったと指摘している。この無関心により、背後にいる悪意のある人物が偽の肯定的なレビューを大量に投稿し、被害者の声がかき消されてしまったのである。
このアプリは3月にリリースされたが、その真の目的は5カ月後まで当局に発見されず、その時点でPlayストアから直ちに削除された。
CPRのサイバーセキュリティ、リサーチ、イノベーション担当マネージャーのアレクサンダー・チャイリトコ氏は、「今回の事件はデジタル資産コミュニティ全体にとって警鐘となる。Google Playで初のモバイル向け暗号資産流出アプリが登場したことは、サイバー犯罪者が用いる戦術の大幅なエスカレーションと、分散型金融におけるサイバー脅威の急速な進化を示している」と述べた。
この調査は、このような高度な脅威を検知・防御できる、AIを活用した高度なセキュリティソリューションの必要性を浮き彫りにしています。ユーザーと開発者の両方が最新情報を入手し、デジタル資産を守るための積極的な対策を講じることが不可欠です。
Google は、アプリが Android ユーザーに提供される前に厳格な審査プロセスを実施していると主張しているにもかかわらず、依然として、問題のあるアプリがデバイスに侵入しているという話を定期的に耳にします。
ただし、Android スマートフォンにアプリをサイドロードする機能は、この点で大きな役割を果たします。
- 犯罪者が数百万ドルを盗む中、暗号ウォレットプロバイダーはセキュリティの見直しを迫られている
- この正規のAndroidアプリがマイクを盗聴するマルウェアに変貌したが、Googleはそれを見逃した
- ネクロマルウェアは、怪しいAndroid MODのサイドローダーを悩ませ続けている
- 米国は最新の半導体工場を環境規制から免除するかもしれないが、電力供給は依然として課題
実際、カスペルスキーは今週、同社の推定によれば 1,100 万人の Android ユーザーが、偽のサブスクリプション料金でユーザーから金銭を盗む Necro マルウェアを密かにインストールしたアプリケーションをダウンロードするというキャンペーンを暴露しました。
調査結果を受けて、Googleの広報担当者は次のように述べた。「この報告書で特定されたアプリの悪質なバージョンはすべて、報告書の公開前にGoogle Playから削除されました。」
Androidユーザーは、Google Playプロテクトによって既知のマルウェアから自動的に保護されています。Google Play開発者サービス搭載のAndroidデバイスでは、Google Playプロテクトがデフォルトで有効になっています。Google Playプロテクトは、悪意のある動作を示すことが知られているアプリを、たとえPlay以外のソースから入手したアプリであっても、ユーザーに警告したりブロックしたりすることができます。®
