Android 上のイメージ ID を盗む革新的なマルウェアをご紹介します。

最近、Android マルウェアの 2 つの新しいファミリーが Google Play で発見されました。 「CherryBlos」や「FakeTrade」と呼ばれるこれらのアプリは、資格情報や仮想通貨資金を盗むこと、また詐欺を実行することを目的としています。これらの発見はトレンドマイクロによって行われたもので、トレンドマイクロは両方のマルウェア ファミリが同じネットワーク インフラストラクチャと証明書を使用していることに気づき、これらが同じ脅威アクターによって作成されたことを示唆しています。

悪意のあるアプリは、ソーシャル メディア、フィッシング サイト、Android 公式アプリ ストアである Google Play でのアプリ内購入など、さまざまなチャネルを通じて配布されます。

CherryBlos マルウェア

Synthnet アプリの悪意のあるバージョンも Google Play にアップロードされ、報告され削除されるまでに約 1,000 回ダウンロードされました。

CherryBlos は、さまざまな戦術を使用して認証情報と暗号通貨資産を盗むマルウェアです。このウイルスは、Accessibility Service の権限を悪用して C2 サーバーから 2 つの構成ファイルを取得し、追加の権限を自動的に承認して、ユーザーがトロイの木馬化されたアプリケーションを削除できないようにします。さらに、CherryBlos は、公式アプリを模倣した欺瞞的なユーザー インターフェイスを使用して資格情報を盗みます。このマルウェアの興味深い機能は、デバイスに保存されている画像に対して光学式文字認識 (OCR) を実行し、暗号通貨ウォレットから回復フレーズを盗むことができることです。

CherryBlos は、Binance アプリのクリップボード ハイジャッカーとしても機能します。暗号トークンのアドレスを攻撃者が管理するアドレスに自動的に変更しますが、ユーザーにとって元のアドレスは変更されません。これにより、攻撃者は支払いを自分のウォレットにリダイレクトし、転送された資金を盗むことができます。

フェイクトレードキャンペーン

トレンドマイクロのアナリストは、Google Playで「FakeTrade」と呼ばれるキャンペーンも発見した。このキャンペーンには、CherryBlos アプリと同じ C2 ネットワーク インフラストラクチャと証明書を使用する 31 個の不正アプリが含まれています。

これらのアプリは、ショッピングのテーマや金銭的な誘惑を利用して、ユーザーをだまして広告を視聴させたり、プレミアム購読を受け入れたり、アプリ内ウォレットを満タンにさせたりします。ただし、ユーザーが仮想報酬を引き出すことは決して許可されません。これらのアプリは主にマレーシア、ベトナム、インドネシア、フィリピン、ウガンダ、メキシコのユーザーをターゲットとしています。

Google は、Google Play から悪意のあるアプリを削除することで迅速に対応しました。ただし、多くのユーザーがすでにダウンロードしているため、感染したデバイスでは手動でのクリーンアップが必要になる場合があります。

Google Play からアプリをダウンロードするときは常に注意し、インストールする前にその出所とユーザー レビューを確認することが重要です。さらに、CherryBlos のようなマルウェアがこれらの画像を認識し、関連する資金を盗む可能性があるため、暗号通貨ウォレットの回復フレーズの写真を撮らないことをお勧めします。

Google にとってユーザーのセキュリティは最優先事項であり、Google Play 上のマルウェアからユーザーを保護するための措置を講じています。ただし、ユーザーが常に情報を入手し、デバイスと個人情報を保護するための措置を講じることは重要です。

当社の情報源