このページの本文へ

マルウェア情報局

Androidアプリを利用した仮想通貨詐欺

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された「Androidで発生した仮想通貨詐欺」を再編集したものです

 仮想通貨の価格と人気の上昇は、潜在的ユーザーを引き付けるだけでなく、サイバー詐欺師をも引き付ける結果となった。サイバー詐欺師たちは、仮想通貨の入手に向けて、新しい独創的な手法を積極的に模索している。もちろん、こうした詐欺事件はPC環境でのみ発生しているわけではなく、さまざまな偽装を施すことにより、スマートフォン、特にAndroidプラットフォーム上でも発生している。

偽の仮想通貨取引所アプリ

 仮想通貨取引所は詐欺師にとって魅力的な標的である。これは、仮想通貨に熱中している人々に人気があるためだけでなく、これらの多くがモバイルアプリを提供していないことに起因している。そのような「権利を主張する人のいない縄張り」が磁石のように詐欺師を引き付け、彼らは不正な偽物を次々と考え出すのである。

 通常は、このような偽アプリの目的はフィッシングであり、偽装された公式取引所にログイン資格情報を入力させる。攻撃者は盗んだ資格情報を利用して該当するアカウントに不正侵入し、そのアカウントを乗っ取るのである。ユーザーにパスワードを入力するよう促すため、詐欺師はできるだけ怪しまれないように工夫する。すなわち、正規サービスを模倣してそのアプリの開発者名、アプリアイコン、ユーザーインターフェースを設定し、偽のレビューを用意することで良い総合評価を得ているように見せかけるということさえしている。

 この種の詐欺の最近の事例として、「ポロニクス」(Poloniex)という取引所になりすますフィッシングアプリ群が挙げられる。これらは2017年にGoogle Playで発見され、それ以来頻繁に(削除された後にも)繰り返し登場している。

図1 Google Play上にある偽の「Poloniex」アプリ

偽の仮想通貨ウォレットアプリ

 同様のフィッシング手法はウォレットのユーザーにも被害をもたらしている。このパターンでは、攻撃者はパスワードの代わりにウォレットの秘密鍵とフレーズを直接入手しようとする。このことは、現実的には、ウォレットのユーザーの方が高いリスクにさらされていることを意味している。取引所へのパスワードが盗まれても、ユーザーの秘密鍵を保持している取引所の助けを得て、それをリセットすることができるが、ウォレットの場合には、盗まれたのが秘密鍵であるため、誰一人としてトラブルから救ってくれる人はいない。

 2018年2月には、「MyEtherWallet」になりすますアプリで、この種の不正なふるまいが発見された。「MyEtherWallet」はオープンソースのイーサリアム(ETH)用ウォレットで、とても人気が高い。そのアプリは2017年末よりGoogle Playに複数回アップロードされており、さまざまな偽のログインフォームを用いることで、ユーザーの秘密鍵と短い語句のフレーズ、もしくはその一方を盗み出そうとする。ポロニクス取引所同様、このウォレットは公式モバイルアプリを保持しておらず、そのために詐欺師にとって魅力的な標的となったのである。

図2 Google Play上にある偽の「MyEtherWallet」アプリ

 フィッシングアプリに加え、攻撃者のウォレットにコインを送るように被害者をだます偽のウォレットを分析してみると、そのようなウォレットアドレス詐欺は単純な手順に従って実施されることが判明した。これらの詐欺では新たなウォレット用の公開鍵を生成するよう見せかけ、生成したアドレスにデジタルコインを送るようユーザーに指示するのである。ユーザーはその指示に従うと、すぐに送金したコインがなくなっていることに気付くことになる。

図3 さまざまな仮想通貨ユーザーを標的としたウォレットアドレス詐欺アプリ

Androidマイニングマルウェア

 仮想通貨のマイニングの最近のブームの中で、Androidベースのマイニングアプリの数も増加している。マイニングアプリが不正かどうかの判定は「同意」の有無に帰着する。すなわち、ユーザーがマイニングをするのに自分のデバイスを利用していることを知っているのか、もしくは誰かにデバイスを乗っ取られて利益を得るために行われているのかによる。もし後者であればそれは、「クリプトマイニング」マルウェアと呼ぶことになる。

 人気ゲームである「バグ・スマッシャー」(Bug Smasher)のバージョンの中には、Google Playで100万~500万回インストールされているが、ユーザーのデバイス上で秘密裏にマイニングを実施している。

図4 隠れたマイニング機能を持ったアプリ「Bug Smasher」

偽マイナーと無料サンプル

 仮想通貨詐欺のまた別のカテゴリーに、ユーザーのためにマイニングしているように装っているものの、実際には広告宣伝以外にはほとんど何もしていないアプリ群がある。ESETが分析したそれらの偽マイニングアプリ群の幾つかは、ユーザーをだまして5つ星評価をさせようとしていた。これらのアプリはそれ自体ではマルウェアではないが、だまそうとしていることには変わりがなく、望ましくもないものである。

 興味深いことに、幾つかの偽のマイニングアプリの裏にいる詐欺師は、アプリで実現すると約束している内容が実現不可能であることも気にかけていないようである。ESETは、偽のビットコインマイニングアプリに加え仮想通貨「リップル」(XRP)をマイニングすると約束するアプリを発見したが、リップルは本質的にマイニングできない通貨である。

図5 Google Play上で発見された偽リップルマイナー

 上述の全てのアプリはESETのシステムで検知・ブロックすることができ、Google Playストアから排除することができる。Google Play Protectを利用しているユーザーはこのメカニズムによって保護されている。

安全を保つ方法

 Android上で仮想通貨詐欺の被害者にならないためにユーザーができることは、下記の通りである。

・取引所とウォレットを、モバイルバンキングアプリと同じぐらい慎重に取り扱う
・取引所もしくはウォレットのモバイルアプリをダウンロードする際には、そのサービスが本当にモバイルアプリを提供していることを確認する。公式アプリはそのサービスの公式サイト上にリンクされているはずである
・もしオプションとして用意されているのであれば、追加のセキュリティ層として2要素認証を利用し、自分の取引やウォレットアカウントを保護する
・Google Playからアプリをダウンロードする際には、ダウンロード数、レーティング、およびレビューを確認する
・Androidデバイスを常にアップデートし、信頼できるセキュリティソリューションを利用することで、そのデバイスを最新の脅威から保護する

 Android OSで動作する仮想通貨詐欺とそのトリックや技術についてもっと知りたいのであれば、ESETのホワイトペーパー「Android上で発生する仮想通貨詐欺」(英文)をお読みいただきたい。