2025年4月16日

株式会社Doctor Web Pacific

仮想通貨(暗号資産)は、決済手段として年々広がりをみせています。2023年のデータによると、先進国では約20%の人が決済に仮想通貨を使用したことがあり、金融部門の発展が住民のニーズを満たせず銀行口座を持たない人の多い発展途上国では仮想通貨利用者の数はさらに多くなっています。国別の仮想通貨ユーザー数では、ロシアは上位10か国にランクインしています。決済の匿名性や取引の迅速性、送金手数料の低さ、そして地理的制約がなく世界中のどこからでもアクセス可能であるという点が一般ユーザーを惹きつける仮想通貨の主なメリットです。一方で詐欺師たちは、取引の不可逆性、規制の欠如、比較的新しい技術であるためユーザーに十分な知識がないという点に目を付けています。これらを悪用してさまざまな手口で違法に収益を得ることができるためです。

2024年6月を境に、新しく購入したAndroidスマートフォンにアンチウイルスDr.Web Security SpaceをインストールしたユーザーからDoctor Webのウイルスラボに多くの報告が寄せられるようになりました。システムパーティションのスキャンによって、メッセージングアプリWhatsAppに偽装した疑わしいアプリケーションが検出されたというものです。Doctor Webのアナリストによる調査の結果、このケースは単なる氷山の一角であることが明らかになりました。これらはすべて、クリッピングと呼ばれる手法を使用して仮想通貨を盗むキャンペーンのほんの一端にすぎなかったのです。

クリッピングとは、ユーザーがクリップボードにコピーしたデータを傍受またはすり替えることで情報を盗む手法です。多くの場合、クリッピングを行うマルウェアであるクリッパーはクリップボードを監視して仮想通貨ウォレットのアドレス形式を検知するよう設計されています。アドレスは通常25～42文字の文字列で、楽に入力するために「コピー」して「貼り付ける」(コピー&ペースト)機能を使用するユーザーがほとんどです。クリッパーはこれを悪用し、検知したすべての仮想通貨ウォレットアドレスを密かにサイバー犯罪者のウォレットアドレスに置き換えます。

クリッパーを仕込んだメッセージングアプリを使用して金融情報を盗む手法はハッカーたちにとって目新しいものではありません。そのようなキャンペーンの1つは2023年に始まっています。当時の攻撃者グループはYouTubeなどの正規のプラットフォームを利用して悪意のあるTelegramやWhatsAppアプリへのリンクを拡散していました。リンクは動画の説明欄に貼られており、主な標的は海外のメッセージングアプリにアクセスすることのできない中国のユーザーでした。そのようなユーザーはジオブロッキングを回避するためになんらかの手段を用いる必要があり、最も多く使用されていたのが非公式サイトからプログラムをダウンロードするという方法だったため、このキャンペーンは攻撃者にとって大きな成功となりました。

現在では攻撃者も新たなレベルへと進化を遂げ、中国の複数のAndroidスマートフォンメーカーのサプライチェーンにアクセスしています。Doctor Webのウイルスラボに報告があったケースで使用されていたのはそのようなスマートフォンで、偽アプリはスマートフォンにプリインストールされていたソフトウェア内で検出されています。すなわち、WhatsAppに悪意のあるコードが追加されていたのです。

侵害されたデバイスのほとんどは低価格帯のもので、有名ブランドのモデルとよく似た名前が付けられています(S23 Ultra、Note 13 Pro、P70 Ultraなど)。そのうえ、実際の技術仕様は製品ページに記載されているものと大きく異なっていました。そのために脅威アクターが使用していたのが、デバイスの「端末情報」ページに表示される内容のみでなく、AIDA64やCPU-Zなどといった定番アプリケーションのレポート内に表示されるすべての技術情報を簡単に偽装することのできるアプリケーションです。「端末情報」ページには最新のAndroid 14が搭載されていると記載されていましたが、実際にはすべてのデバイスにAndroid 12の同じビルドが搭載されていました。以下の表に記載されているモデルの3分の1はSHOWJIブランドのものです。残りのモデルについては、残念ながらメーカーを特定することはできませんでした。

悪意のあるソフトウェアがプリインストールされていたスマートフォンのモデル(Doctor Webのユーザーが購入したもの)

不自然な誤ったロシア語(「高速のTastydragonなCPU」、「5000万台のカメラ」)で高性能をうたう製品説明

デバイスの技術仕様を偽装するために使用されていたアプリケーションのスクリーンショットとその偽装結果

「DevCheck」というアプリを使用することで、より正確にデバイスの仕様を確認することができます。たとえメーカーがユーザーを欺こうとしている場合であっても、このアプリケーションは高確率で製品の正しい仕様を特定してくれます。

トロイの木馬化されたWhatsAppアプリケーションを作成するために脅威アクターはLSPatchツールを使用しています。このフレームワークは、コードに手を加えるのではなく追加のソフトウェアモジュールをロードすることでメインアプリケーションの動作を変更することを可能にします。今回のケースでは、悪意のあるモジュールcom.whatsHook.apkがassetsフォルダ内に置かれていました。このモジュールは以下の機能を実行します。

• アプリケーション更新のハイジャック：アプリケーションはhxxps://www.whatsapp[.]com/android/current/WhatsApp[.]apkで更新を確認する代わりに、攻撃者のサーバーの1つにアクセスするようになります(例：hххps://apk-download[.]pro/download/whatsapp[.]apk)。これにより、アプリケーションをトロイの木馬化されたままの状態に保ち、その動作に脅威アクターの望む変更を加えることができます。

正規の更新サーバーへのリクエストをハイジャックするメソッド

正規の更新アドレスを偽の更新アドレスに置き換えるクラス

• 送受信メッセージ内で仮想通貨Tron(Tで始まる34文字の文字列)およびEtherium(0xで始まる42文字の文字列)のウォレットアドレス形式に一致する文字列を検出し、それらを攻撃者のアドレスに置き換える：今回のケースではクリッパーの基本的な機能が拡張されており、ユーザーが異変に気づくことすらないようになっています。送信メッセージの場合、侵害されたデバイスではユーザー自身の正しいウォレットアドレスが表示され、メッセージの受信者には攻撃者のウォレットアドレスが表示されます。受信メッセージの場合、送信者には自分のウォレットアドレスが表示され、ユーザーのデバイスでは受信するアドレスが攻撃者のウォレットアドレスにすり替えられます。ウォレットアドレスは攻撃キャンペーンを繰り返すたびに変更されていますが、トロイの木馬にはなんらかの理由でC2サーバーとの接続を確立できなかった場合に使用できるバックアップアドレス(「TN7pfenJ1ePpjoPFaeu46pxjT9rhYDqW66」、「0x673dB7Ed16A13Aa137d39401a085892D5e1f0fCA」)も含まれています。また、トロイの木馬はWhatsAppチャット内のメッセージをすべて攻撃者のサーバーに送信します。

Tronウォレットアドレスに一致する文字列を検索するパーサー

Etheriumウォレットアドレスに一致する文字列を検索するパーサー

• 以下のフォルダ内にあるすべての.jpg、.png、.jpeg画像を検出し、攻撃者のサーバーに送信する：

これは、仮想通貨ウォレットのいわゆるニーモニック(リカバリー)フレーズを見つけるために行われます。ニーモニックフレーズ(mnemonic phrases)は特定の順序で並んだ12～24文字の単語で、ウォレットの作成時に一度だけ表示されます。多くのユーザーはこれを書き留めたり別の媒体に保存したりするのではなく、単純にスクリーンショットを撮ることで済ませています。ユーザーがパスワードを忘れてしまった場合にこのフレーズを使用することでウォレットにアクセスできます。それがニーモニックフレーズの正規の目的ですが、裏を返せば、攻撃者がそのようなデータを入手することで仮想通貨ウォレットから即座にすべての資産を盗み出すことができるということでもあります。

仮想通貨ウォレットへのアクセスを復元するためのニーモニックフレーズの例。ユーザーはこれらの単語を数字の順番どおりに入力する必要がある。

• デバイスに関する情報を送信する(デバイスのメーカー、モデル、言語設定、トロイの木馬化されたアプリケーションの名前)：合計で約40の異なるアプリケーションが改変されており、これには前述のWhatsAppやTelegramに加え、その他のメッセージングアプリやQRコードスキャナなどが含まれています。より重大なのは、広く使用されている仮想通貨ウォレットアプリ(Mathwallet、Trust Walletなど)も侵害されていたということです。

このトロイの木馬は、そのコード内に「Log.e("", "-------------------SHIBAI-释放------------")」という文字列を含んでいたことから「Shibai」という名前でDoctor Webウイルスデータベースに登録されています。この「Shibai」は仮想通貨の銘柄の1つからとられたものと考えられます。

残念ながら、この攻撃キャンペーンは大きく勢いを増しています。60台を超えるC2サーバーによって管理され、悪意のあるアプリケーションを拡散するためにおよそ30のドメインが使用されています。Doctor Webではこのトロイの木馬の作成者が得た金銭的利益に関する情報を入手することに成功しました。ウォレットの1つには過去2年間で100万ドル以上が入金されており、また別のウォレットには総額50万ドルが保有されています。残り約20のウォレットは合計で最大10 万ドルを保有していました。ウォレットアドレスは攻撃者のサーバーから取得したものであり、それらは常時変更される可能性があるため、このキャンペーン全体の収益を把握することは不可能です。

最も多く資産を保有していた仮想通貨ウォレットの1つ

このような攻撃から身を守るために、Doctor Webでは次のような対策を推奨しています：

• モバイルデバイス用アンチウイルスDr.Web Security Space for mobile devicesをインストールする
• 価格と性能のバランスが明らかにおかしい(安価なのに高性能)スマートフォンを購入しない
• Google PlayやRustore、AppGalleryなどの信頼できる提供元からのみアプリケーションをダウンロードする
• ニーモニックフレーズやパスワード、キーのスクリーンショットを暗号化されていない状態でデバイスに保存しない

Tool.LSPatch.1 の詳細 ※英語

Android.Clipper.31 の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語