記事本文(要約)
新たに発見されたAndroidマルウェア「Crocodilus」は、ユーザーに暗号通貨ウォレットのシードフレーズを提供させる手口で侵入します。このマルウェアはデバイスの制御を奪い、データを収集し、リモート操作を行う能力を持っています。ThreatFabricの研究者によれば、Crocodilusは独自のドロッパーを通じて配布され、Android 13以降のセキュリティ保護を回避します。このドロッパーはPlay Protectをトリガーせず、Accessibility Serviceの制限も迂回します。
Crocodilusは画面オーバーレイを使って、ユーザーがウォレットキーをすぐにバックアップしないとアクセスを失うという警告を表示することで、ユーザーにシードフレーズを提供させる社会工学的手法を使用します。この情報を悪用して、攻撃者はウォレットを完全に制御でき、資金を引き出すことが可能です。現在、主にトルコとスペインのユーザーが対象となっています。感染経路は明確ではありませんが、悪意あるサイトや偽のプロモーション、第三者のアプリストアからのダウンロードが原因とされています。
また、CrocodilusはAndroidのAccessibility Serviceを悪用し、アプリケーションの内容を監視するほか、偽のオーバーレイを使用してアカウント認証情報を盗みます。さらに、23のコマンドを実行するBOT機能や、RAT機能を持ち、遠隔での画面操作やジェスチャーの確認、Google Authenticatorアプリのスクリーンショットを取得することができます。ユーザーは、安全のためにGoogle Play以外からのアプリダウンロードを避け、Play Protectを常に有効にしておくことが推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Sun, 30 Mar 2025 10:17:19 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/
詳細な技術情報
- 脆弱性の仕組み CrocodilusはAndroidデバイスのアクセシビリティサービスを悪用し、デバイスの内容を監視し、ユーザーインターフェースを操作することで、銀行情報や暗号通貨ウォレットのシードフレーズを収集します。アクセシビリティログを利用して、ウォレットキーを盗むことができます。また、詐欺的な画面オーバーレイを利用して、ユーザーを巧妙に騙し、重要な情報を入力させます。
- 攻撃手法
- 1. ソーシャルエンジニアリング: 偽のバックアップ警告を表示し、ユーザーにウォレットのシードフレーズを入力させる。
- 2. アクセシビリティサービスの悪用: サービスの権限を得て、画面の内容を収集し、操作する。
- 3. オーバーレイ攻撃: 銀行や暗号通貨アプリの上に偽の画面を表示し、ユーザーの入力を盗む。
- 4. 新たに発見されたドロッパー: Androidのセキュリティ保護を回避し、Play Protectをバイパスする。
- 潜在的な影響
- 暗号通貨ウォレットからの資金の盗難
- 銀行情報の漏洩 – デバイスの完全なリモート制御
- 個人情報の大規模な盗難
- 二要素認証(2FA)のバイパスによるアカウントの乗っ取り
- 推奨される対策
- 1. 公式ストアのみからアプリをダウンロード: 信頼できない第三者のソースからAPKをインストールしない。
- 2. Play Protectの使用: 常に有効にしておき、アプリのインストール時に警告を無視しない。
- 3. アクセシビリティサービスの権限管理: 不要なアプリに対してアクセシビリティサービスを許可しない。
- 4. セキュリティソフトの導入: デバイスにセキュリティソフトウェアをインストールし、定期的なスキャンを行う。
- 5. 疑わしいリンクやメッセージを避ける: ソーシャルメディアやSMSでの不明なプロモーションリンクはクリックしない。
- 6. 重要な情報は手動で入力: 安全であると確信できる場合のみ、シードフレーズやその他の機密情報を手動で入力する。
