セキュリティ研究者が、280種を超える悪質なAndroidアプリを発見した。これらのアプリは、画像認識技術(OCR)を用いて仮想通貨ウォレットの認証情報を盗み出していた。
アプリは銀行や政府サービスを装い、ユーザーのスマートフォン内の画像を密かに解析。ウォレット回復用フレーズを含むデータを遠隔サーバーに送信する仕組みが判明した。
仮想通貨ウォレットを狙う新たな手口
今回発見された280種を超える悪質なAndroidアプリは、仮想通貨ウォレットの認証情報を盗むことを目的としている。これらのアプリは、公式アプリを装い、ユーザーが気付かぬうちにスマートフォン内のデータを不正に収集する仕組みがある。特に仮想通貨ウォレットのセキュリティ機能を突破するために用いられているのが、光学文字認識(OCR)技術だ。
OCRは、画像内に含まれるテキストを機械で読み取れる形式に変換する技術であり、今回の攻撃では、ユーザーが保存した画像内にあるウォレット回復用フレーズを盗み出すために使用されている。仮想通貨ウォレットは、しばしばランダムな単語列を使ってアクセスを保護しているが、これを画像として保存しているユーザーが狙われた。攻撃者はこれらの単語をOCRで読み取り、遠隔サーバーに送信することで不正アクセスを試みている。
これにより、仮想通貨資産が攻撃者の手に渡るリスクが高まり、被害者にとって大きな脅威となっている。
悪質アプリの配信経路と感染の広がり
これらの悪質なアプリは、主に非公式のウェブサイトやフィッシングメッセージを通じて配布されている。攻撃者は、銀行や政府機関、ストリーミングサービス、公共料金のアプリを装うことで、ユーザーにアプリの正当性を信じ込ませている。公式アプリストアであるGoogle Playにはこれらのアプリが存在しないが、それでも多くのユーザーが騙されてインストールしてしまうケースが後を絶たない。
さらに、この悪質なキャンペーンは主に韓国を中心に展開されていたが、最近では英国でもその活動が確認されている。これは、攻撃者がより広範囲にターゲットを拡大し、異なる地域や言語に対応したバージョンのマルウェアを作成していることを示している。このような進化は、セキュリティソフトウェアや分析者にとっても検出を難しくしている。
感染経路を特定し、これらのアプリの削除を推進することが、今後の被害拡大を防ぐために急務となっている。
高度な手法で被害者を狙うサイバー攻撃
この攻撃の特徴は、単にアプリをインストールさせるだけでなく、その後のデータ処理が非常に高度であることだ。攻撃者は、盗み取ったデータをサーバー上で管理し、PythonやJavaScriptを用いてOCRで変換したテキストデータを処理している。このプロセスは、単なる画像解析にとどまらず、整理された形でデータを管理し、不正にアクセスするための管理パネルを通じて利用されている。
特に、ウォレットの回復フレーズを狙った手法は、従来の攻撃よりも高度なものとなっている。単語列は、人間にとって覚えやすいが、その一方で画像として保存されることが多いため、攻撃者にとっても狙いやすいターゲットである。今回のケースでは、この弱点を巧みに突き、仮想通貨ウォレットの侵害を試みる非常に巧妙な手法が確認された。
今後も、このような高度な攻撃手法に対して、さらなるセキュリティ対策が必要とされるだろう。
被害防止のための具体的な対策
被害を防ぐためには、まず公式アプリストア以外からのアプリのインストールを避けることが重要だ。攻撃者は、信頼できるアプリのふりをしてユーザーを騙そうとするが、そのアプリが公式であるかを確認することが、最初の防御線となる。また、フィッシングメッセージには細心の注意を払い、不審なリンクや添付ファイルを開かないことも重要だ。
さらに、仮想通貨ウォレットの情報を画像として保存することは避け、物理的に記録して保管することが推奨される。今回の攻撃で用いられているOCR技術は、画像内のテキストを簡単に解析できるため、デジタル形式で保存された情報は非常にリスクが高い。
加えて、セキュリティソフトの導入や、2段階認証の設定も有効な対策となる。攻撃者は進化し続けるため、常に最新のセキュリティ対策を導入し、自己防衛の意識を高めることが求められる。