Androidユーザーはご注意を：新しいマルウェア「Crocodilus」がGoogle Playのプロテクトを回避し、偽のポップアップで暗号通貨を盗む - あなたのウォレットは安全ですか？

高度なソーシャル・エンジニアリング手法で暗号ウォレットを狙う新たなAndroidマルウェア「Crocodilus

Crocodilusと名付けられた新しいAndroidマルウェアが、モバイルユーザー、特に暗号通貨ウォレットを持つユーザーの間で警戒を呼び起こしている。

最近、詐欺防止の専門家であるスレットファブリック この悪質なソフトウェアは、欺瞞的なオーバーレイと洗練されたソーシャル・エンジニアリングのテクニックを組み合わせることで、ユーザーを騙して財布の機密情報、特にシード・フレーズを渡すように設計されています。

最近、スペインとトルコのユーザーを標的にしたマルウェアが確認されたが、このマルウェアの高度な性能は、より広範囲に展開される可能性を示唆している。

クロコディラスがアクセシビリティ機能を悪用してセキュリティを回避する方法

Crocodilusは、Android 13以降のセキュリティ対策を回避し、GoogleのPlay Protectからの検出を回避するカスタムドロッパーを介して動作する。

インストールされると、アクセシビリティ・サービスの許可を要求する。アクセシビリティ・サービスは、障害を持つユーザーを支援するために設計された機能だが、この場合は、画面のコンテンツを監視し、アプリケーションと対話するために悪用される。

ソーススレットファブリック

これらの権限を活用することで、Crocodilusはデバイスの所有者に気付かれることなく、様々なアクションを実行することができる。

このマルウェアの最も狡猾な機能は、偽の警告オーバーレイで、12時間以内にウォレットキーをバックアップするようユーザーに促し、ウォレットへのアクセスを失うよう脅す。

このプロンプトは、被害者をおびき寄せてシードフレーズを吐かせるように設計されており、マルウェアはアクセシビリティ・ロガーを使ってこれを記録する。

ソーススレットファブリック

この重要な情報により、攻撃者はウォレットを完全にコントロールできるようになる。

リモートアクセス機能で拡大する脅威

クロコディラスは、単なる信用情報盗み出しツールではない。

また、リモートアクセス型トロイの木馬（RAT）としても機能し、サイバー犯罪者に感染したデバイスの制御を提供する。

出典：Sucuri

このマルウェアは、ジェスチャーをシミュレートしたり、画面をスワイプしたり、Google Authenticatorのような二要素認証アプリを含むスクリーンショットを撮ることができる。

つまり、シードフレーズを盗むことができるだけでなく、多要素認証（MFA）をバイパスすることもできるため、暗号ウォレットと銀行口座の両方にとって重大な脅威となる。

いったんアクティブになると、マルウェアはデバイスをミュートしたり、黒い画面をオーバーレイしたりして、ユーザーから活動を隠すことさえできる。

このため、被害者がデータを採取されている間の異常な行動を検知することはほぼ不可能だ。

スペインとトルコのユーザーをターゲットに - しかし、より広範な展開が予想される

現在、Crocodilusは主にスペインとトルコのユーザーを標的にしていることが確認されており、マルウェアの作成者がこれらの地域に集中していることを示唆する証拠がある。

トルコ語のデバッグ・コードが使用されていることから、このマルウェアの出所である可能性が考えられるが、マルウェアが進化するにつれて、その範囲も拡大することが予想される。

初感染の正確な方法はまだ不明だが、専門家によると、ユーザーは悪意のあるウェブサイト、ソーシャルメディアのプロモーション、偽広告、サードパーティのアプリストアなどを通じてマルウェアをダウンロードさせられているという。

ThreatFabricのモバイル脅威インテリジェンス部門責任者であるアレクサンダル・エレミンは、次のように説明する、

"Crocodilusは暗号関連アプリを装い、被害者に暗号通貨ウォレット・アプリケーション内に保存されている秘密を明かさせるために、特定のソーシャル・エンジニアリング技術を駆使している。"

同氏はさらに、暗号通貨ユーザーとそのウォレットを標的とするサイバー犯罪者の関心が高まっていることを強調した。

増加するマルウェア・アズ・ア・サービスの脅威

Crocodilusは、モバイル脅威の世界では新参者であるにもかかわらず、アンダーグラウンドのサイバー犯罪市場で確立されたマルウェア・アズ・ア・サービスに匹敵する能力があることをすぐに示した。

遠隔操作、データロギング、MFAアプリをバイパスする機能など、その特徴はサイバー犯罪者の手中にある非常に効果的なツールとなっている。

Eremin氏は、Crocodilusはモバイルマルウェアの分野では比較的新しい脅威であるが、その広範な機能は、アンダーグラウンド市場で確立されたマルウェア・アズ・ア・サービスの強力な競争相手として位置づけられる可能性があると強調した。

ワニから身を守る

Crocodilusは深刻な脅威ではあるが、ユーザーはリスクを減らすための対策を講じることができる。

何よりもまず、ユーザーは暗号通貨ウォレットのシードフレーズを決して共有してはならない。

正規のアプリがポップアップや通知でそれを求めることはない。

シードフレーズをオフラインで安全な場所に保管することは極めて重要である。

出典：フリーピック

さらに、SMSメッセージやソーシャルメディア広告のリンクを含め、サードパーティからのアプリのインストールは避けるべきである。

Google Playストアは、悪意のあるアプリがないかを積極的に監視しているため、Google Playストアにアクセスするのが最も安全だ。

Google Playプロテクトを有効にし、Android OSとアプリを定期的にアップデートすることは、マルウェアを寄せ付けないために不可欠である。

特にアクセシビリティ・サービスやデバイス管理者権限に関しては、ユーザーはアプリに不要な権限を与える際にも注意が必要だ。

保護を強化するために、評判の良いモバイルセキュリティアプリをインストールし、ハードウェアベースの二要素認証キーを使用することを検討してください。

警戒を怠らず、ベストプラクティスに従うことで、ユーザーはCrocodilusや同様のマルウェアの被害に遭う可能性を大幅に下げることができる。