仮想通貨ウォレットドレインアプリがGoogle Playに存在し、7万ドルを盗む
Google Play マーケットで「WalletConnect-Airdrop Wallet」と呼ばれる仮想通貨を盗むためのマルウェアが見つかり、半年以上モデレーターの注意をうまく逃れ、10,000 回ダウンロードされ、7万ドル(約1,000万円)が盗まれていたことが分かった。
最新のサイバー脅威インテリジェンス情報を提供するITセキュリティ企業Check Point Research(チェックポイントリサーチ)は、Google Playストアで、高度な回避技術を使用し、5カ月で7万ドル以上を盗んだ仮想通貨ウォレットドレインアプリを発見した。この悪質アプリは、さまざまな仮想通貨ウォレットをDeFi(分散型金融)アプリにリンクでき、仮想通貨業界で認知度の高いアプリWalletConnectプロトコルに偽装していた。
Checkpoint Research のケーススタディによると、このアプリは当初、2024年3月にGoogle Playに登場。匿名の仮想通貨ウォレット接続アプリとして開始されたが、確立された番号付け手法によって追加の正当性を獲得していたという。ウォレットをDappにリンクするために使用されるWalletConnectアプローチを使用してウォレットを騙し、ユーザーに本物のアプリケーションであると信じ込ませており、同社公式ブログの中で次のように述べている。
ドレインアプリがモバイルユーザーのみをターゲットにしたのは初めてだ。偽のレビューと一貫したブランディングにより、このアプリは検索結果で上位にランクされ、1万回以上のダウンロードを達成した。
統合ウォレットを利用してお金を吸い上げて偽レビューで被害者を欺く
ユーザーを騙すためにこのアプリは、ユーザーに仮想通貨ウォレットの提供を要求するように設計されていた。
ウォレットが接続されると、正当な仮想通貨プラットフォームを装ったこのアプリは、不正送金を承認。これによってハッカーは、デジタル通貨を盗み、実際の所有者の許可なしに自分のアカウントに移動させていたという。被害者が注意喚起としてアプリのGoogle Playページに否定的なコメントを投稿した場合でも、このマルウェアの背後にいるサイバー犯罪者はすぐに対応し、偽の肯定的なコメントをページに詰め込んでいる。これにより、アプリの悪意が隠され、より多くの人々がアプリをダウンロードする犠牲者となっていったという。
詐欺と認識したユーザーも
150人以上のユーザーが7万ドルをだまし取られたが、アプリユーザー全員が影響を受けたのではなく、ウォレットを接続しなかったり、詐欺だと認識したりしたユーザーもいた。
同社の調べによると、その他のユーザーは、マルウェアの特定の標的基準を満たしていなかった可能性があるという。同社はさらに、偽アプリは3月21日にGoogleのアプリストアで利用可能になり、5カ月以上検出されずにいたが現在は削除されている。このアプリは当初「Mestox Calculator」という名前で公開され、数回変更されたが、そのアプリケーションURLは依然として一見無害な電卓付きサイトを指しており、調査員は次のように述べている。
この手法により、攻撃者はGoogle Playのアプリレビュープロセスを通過できる。自動および手動のチェックにより「無害な」電卓アプリケーションが読み込まれるからだ。このアプリは被害者のウォレットにあるすべての資産の価値を取得します。最初に高価なトークンを引き出そうとし、次に安価なトークンを引き出そうとします。この事件は、サイバー犯罪者の戦術がますます巧妙になっていることを浮き彫りにしています。
ユーザーのIPアドレスの場所とモバイルデバイスを使用しているかどうかに応じて、一部のユーザーはウォレットを空にするソフトウェアMS Drainerを収容する悪意あるアプリのバックエンドにリダイレクトされたとのことだ。