ESETは3月24日(現地時間)、運営しているセキュリティ情報サイトのWeLiveSecurity「Crypto malware in patched wallets targeting Android and iOS devices」において、AndroidおよびiOS向けの暗号資産ウォレットアプリを装って、ユーザーの暗号通貨の認証情報を盗み出す複数の悪意のあるアプリを確認したとして注意喚起を行っている。これらのアプリは正規のウォレットアプリを巧妙に偽装しているが、検出が困難な場所に悪意のあるコードを隠し持っているという。

ESETによる調査では、2021年5月以降に数十のトロイの木馬化された暗号資産ウォレットアプリが発見されているとのこと。これらのアプリはオリジナルと同じ機能を提供するように模倣されており、ユーザーが偽のアプリであることに気づきにくいようになっている。しかしインストールすると、巧妙に隠蔽された悪意のあるコードによって、ユーザーの暗号通貨の認証情報やキーフレーズなどを盗み出そうとする。

Androidでは、正規のウォレットアプリがデバイスにインストールされている場合には証明書の署名が異なる同じパッケージ名のアプリはインストールできない。そのため、正規のアプリをまだ使用していない新規のユーザが攻撃の標的になる。一方でiOSでは、バンドルIDを共有しないために、正規のアプリと偽のアプリの両方を同時にインストールすることができるという違いが報告されている。

配布方法にもAndroidとiOSで違いがあり、Androidの場合は悪意のあるアプリを直接ダウンロードしてインストールする方法が提供されていたのに対して、iOSでは別途構成プロファイルをインストールさせる手法がとられていたという。これは、iOSではAppleによって検証されていないアプリのインストールを許可するために、コード署名証明書を追加する必要があるからだ。

  • Androidの場合、偽のWebサイトから悪意のあるアプリをダウンロードさせる(引用:WeLiveSecurity)

    Androidの場合、偽のWebサイトから悪意のあるアプリをダウンロードさせる 引用:WeLiveSecurity

  • iOSの場合、構成プロファイルを介してアプリをインストールさせる(引用:WeLiveSecurity)

    iOSの場合、構成プロファイルを介してアプリをインストールさせる 引用:WeLiveSecurity

WeLiveSecurityは、これらのアプリの宣伝および配布方法や、インストール後の攻撃に使用されている手法などの詳細な分析結果がレポートされている。実際に模倣アプリが発見されたウォレットアプリの例としては、Metamask、Coinbase、Trust Wallet、TokenPocket、Bitpie、imToken、OneKeyなどが挙げられている。

このような悪意のある模倣アプリの被害を回避するために、これらのウォレットアプリを導入する際は、必ず公式Webサイトにリンクされている公式アプリストアからインストールすることが推奨されている。