暗号通貨ウォレットのパスワード窃取が主な目的の模様
スクショ読み取るマルウェア、App StoreとGoogle Playで発見。パスワードや個人情報狙い
Share
アップルとGoogleの公式アプリストアにある多数のiOSおよびAndroidアプリに、悪質なマルウェアのソフトウェア開発キット(SDK)が含まれているのを、カスペルスキーの技術者2人が発見した。問題を含むアプリは非公式のアプリストア経由でも配信されているという。
技術者らは、「Google Playで感染したアプリは24万2000回以上ダウンロードされていた。AppleのApp Storeでこの種のマルウェアが発見されたのはこれが初めてだ」と指摘している。
なお、アプリストア内のマルウェアは主に欧州とアジアのAndroidおよびiOSユーザーを標的としており、さまざまなアプリに含まれている。それにもかかわらず、モバイルアプリでは珍しいRustプログラミング言語の使用、クロスプラットフォーム機能、検出と分析を妨げる難読化技術など、共通する特徴が複数ある。
SparkCatと名付けられたこのマルウェアは、iPhoneやAndroidデバイスなどにに感染すると、画像から文字を認識して読み取るOCRツールを使用して、さまざまな言語で暗号通貨ウォレットのリカバリーフレーズを含むスクリーンショット画像を検索する。まんまとフレーズが探し当てられれば、被害者のウォレットを完全にコントロールし、さらに資金を盗むのに十分な情報が悪意ある者の手に渡ってしまう。
SparkCatの主たる目的は暗号通貨ウォレットの情報だが、それ以外でもフォトギャラリー内のスクリーンショットに残されたその他のパスワードや、メッセージ文の内容、あらゆる個人情報が読み取り可能なようだ。カスペルスキーの報告書は、スクリーンショットや写真の形でスマートフォンに個人情報を保存するのではなく、パスワード管理アプリなどを使うことを推奨している。さらに、動作に不審なところがあるアプリや、インストールしたものの使っていないアプリなどがあれば削除するよう勧めている。
報告書では、SparkCatの出所は不明であり、既知の組織に起因するものではないとされている。ただ、2023年3月にITセキュリティ企業ESETの研究者が発見したマルウェアの活動と類似点があるとのことだ。
