仮想通貨のニーモニックフレーズをOCRで読んで送信するマルウェア

CherryBlosを含むアプリの一例「SynthNet」

　Trend Micro Researchのモバイルアプリ評価サービスチームは、Androidユーザーを標的とした仮想通貨マイニングおよび金銭を盗み取るマルウェア「CherryBlos」(AndroidOS_CherryBlos.GCL)を発見し、その詳細について報告した。

　CherryBlosは偽のソーシャルメディア(最初の例はUkraine ROBOTと称するもの)の投稿を介して配布され、端末にダウンロードされインストールすることで活動開始する。

　このマルウェアは、静的検出を回避するためにJiagubaoとして知られる商用のパッカーを使用してパッケージングされ、難読化されているほか、アクセシビリティ権限を悪用して、仮想通貨の公式アプリを起動するタイミングで偽のウォレットUIを起動して、標的の資格情報の入力へ誘導。そこで入力された資格情報は攻撃者のサーバーに送られる。

SynthNetのホームページ

ユーザーの注意をそらす偽のUI

　また、Binanceアプリで出金を行なっている間、偽のUIをオーバーレイ表示して元のアドレス表示すさせつつ、実際の出金アドレスを変更。BinanceのUIの中の「引き出し」、「確認」、「送信」を監視し、アクセシビリティサービスを使ってコインの種類などを検索して値を記録。偽の出金ビューをオーバーレイ表示して、ユーザーの入力に基づいて事前に記録された値を入力しつつ、攻撃者のアドレスに送金を仕向ける。

　さらに、構成において「EnableImage」フィールドが有効な場合、CherryBlosは外部ストレージに保存されているメディアファイルを読み取る。そこでOCRの機能を使い、潜在的なニーモニックフレーズ(仮想通貨ウォレットのリカバリなどに必要)に認識して、テキストを抽出、その結果を攻撃者のサーバーにアップロードするという。

画像をOCRして攻撃者のサーバーにアップロードしている

　Trend Microは、このCherryBlosはSNSを介した配布のみならず、Google Playストアでも2021年から2022年にかけて、同一のネットワークインフラストラクチャとアプリ証明書が共有されている複数のアプリの配布が確認できたといい、同一の攻撃者によって実施されたとみている。

Google Playでも確認できたという

　こうしたマルウェアによる被害を防ぐため、信頼できるソースおよび評判の良い開発者からのアプリのみのインストール、最新セキュリティパッチの適用、評判の良いモバイルセキュリティ対策ソフトのインストール、アプリにアクセス許可を与える際によく確認する、不審なリンクをクリックしたり不明なソースから添付ファイルをダウンロードしないといった対策を取るよう、ユーザーに呼びかけている。