🛡 概要
新たに発見されたモバイル暗号資産盗難マルウェア「SparkKitty」が、Google PlayとApple App Storeのアプリで確認され、AndroidおよびiOSデバイスをターゲットにしています。このマルウェアは、Kasperskyが1月に発見した「SparkCat」の進化形と考えられています。SparkCatは光学文字認識(OCR)を使用して、感染したデバイスに保存された画像から暗号資産ウォレットのリカバリーフレーズを盗むものでした。暗号資産ウォレットのインストール時には、リカバリーフレーズをメモして安全な場所に保管するよう指示されます。このシードフレーズへのアクセスは、他のデバイスでウォレットとその資産を復元するために使用され、脅威のある攻撃者にとって価値のあるターゲットとなります。
🔍 技術詳細
Kasperskyの報告によれば、SparkKittyマルウェアは感染したデバイスの写真ギャラリーから無差別に画像を盗み出します。SparkKittyキャンペーンは2024年2月以降活動しており、公式のGoogleおよびAppleのアプリストア、さらには非公式プラットフォームを通じて広がっています。Kasperskyが特定した悪意のあるアプリには、Apple App Storeの「币coin」とGoogle Playの「SOEX」が含まれ、これらは執筆時点で削除されています。SparkKittyは、iOSでは偽のフレームワーク(AFNetworking.framework、libswiftDarwin.dylib)として埋め込まれ、エンタープライズプロビジョニングプロファイルを介して配信されることがあります。Androidでは、マルウェアはJava/Kotlinアプリに埋め込まれ、一部は悪意のあるXposed/LSPosedモジュールを使用します。iOSでは、アプリ起動時に自動的にコードを実行するためにObjective-Cの’+load’メソッドを使用しています。
⚠ 影響
このマルウェアは、暗号資産ウォレットのシードフレーズを狙っていると考えられていますが、盗まれたデータは他の悪意のある目的にも使用される可能性があります。たとえば、画像に敏感なコンテンツが含まれている場合、恐喝に利用されることもあります。SparkKittyは、ユーザーがアプリをインストールする際にギャラリーへのアクセスを要求し、許可されると新しい画像を監視して不正にアップロードします。Androidでは、デバイスの識別子やメタデータと共に画像をアップロードし、Google ML Kit OCRを使用してテキストを含む画像のみを検出してアップロードするバージョンもあります。このように、マルウェアは公式アプリストアに潜り込む例が増えており、ユーザーは配布チャネルが信頼できるものであっても無条件にソフトウェアを信頼すべきではありません。
🛠 対策
ユーザーはアプリのインストール時にギャラリーアクセスの要求を疑い、アプリのコア機能に関連しない場合は拒否することが重要です。また、iOSでは信頼できるソースからの設定プロファイルや証明書以外のものはインストールしないようにしましょう。Androidでは、設定でGoogle Play Protectを有効にし、定期的にデバイス全体のスキャンを実施することを推奨します。最終的に、暗号資産の保有者はウォレットのシードフレーズの画像をモバイルデバイスに保存しないようにし、オフラインで安全な場所に保管することが重要です。
