カスペルスキー、シードフレーズのスクリーンショットを標的とする新たな暗号マルウェアを警告

新種のモバイルスパイウェアが、暗号通貨ユーザーのウォレットシードフレーズのスクリーンショットを盗むことを目的としており、一部の感染したアプリはAppleやGoogleのストアの防御をすり抜けています。

カスペルスキーは、暗号通貨ユーザーの電話の写真ギャラリーからシードフレーズのスクリーンショットを標的とする新種のモバイル暗号マルウェアを発見しました。このマルウェアはAndroidとiOSの両方のアプリを通じて拡散しており、そのうちのいくつかはGoogle PlayやAppleのApp Storeを含む公式アプリストアに掲載されていました。

主に東南アジアと中国のユーザーを標的とするこの新たなマルウェア「SpARkKitty」は、1月に発見された以前のマルウェアキャンペーン「SparkCat」の親戚であるようです。SparkCatと同様に、この新たな変種は機密情報を含む写真を盗むことに焦点を当てています。

このマルウェアは、TikTokの改造版、暗号通貨トラッカー、ギャンブルゲーム、アダルトコンテンツアプリなど、一見正当なアプリ内に隠されています。これらのアプリはユーザーをだまして特別な開発者プロファイルをインストールさせ、マルウェアが電話の通常のアプリレビュー保護の外で実行されるようにします。

インストールされると、マルウェアはユーザーが特定の画面（例：サポートチャット）を開くまで待機し、その後写真ギャラリーへのアクセスを要求します。許可されると、光学文字認識を使用して画像を静かにスキャンし、テキストを含むスクリーンショットを識別して盗みます。

多くの偽アプリには強い暗号通貨のテーマがあり、いくつかは暗号通貨専用のストアを含んでおり、シードフレーズの収集が目的であったことを示唆しています。

例えば、報告書でフラグが立てられた2つのアプリは「Soex Wallet Tracker」と「Coin Wallet Pro」でした。Soexは、リアルタイム追跡機能を備えたポートフォリオマネージャーを装っており、Google Playから削除される前に5,000回以上ダウンロードされました。

Coin Wallet Proは、安全なマルチチェーンウォレットとして市場に出ており、App Storeに短期間掲載され、ソーシャルメディア広告やTELegramのプロモーションを通じて注目を集めた後、削除されました。

カスペルスキーはAppleとGoogleの両方に通知しており、影響を受けたアプリはその後ストアから削除されました。研究者によると、このキャンペーンは少なくとも2024年4月から実行されており、いくつかのサンプルはさらに前の日付のものでした。