Trend Microは7月28日(米国時間)、「Related CherryBlos and FakeTrade Android Malware Involved in Scam Campaigns」において、Androidユーザーを標的とする暗号資産マイニングと金銭的な詐欺キャンペーンに関与した2つのマルウェアの関連性を発見したと伝えた。

  • Related CherryBlos and FakeTrade Android Malware Involved in Scam Campaigns

    Related CherryBlos and FakeTrade Android Malware Involved in Scam Campaigns

今回関係が指摘されたマルウェアの1つはFakeTradeで、2021年から2022年頃にGoogle Playのアプリとして多数配信されていたとされている(現在はすべて削除されている)。

もう1つは2023年4月頃に発見されたCherryBlosと呼ばれるマルウェア。Trend Microによると、攻撃者は人気のソーシャルプラットフォーム上でユーザーを勧誘し、だましてこのマルウェアをインストールさせるという。機能としては、暗号通資産ォレットの認証情報の搾取、資産の引き出し時の送金先アドレスの差し替え、Androidに保存された画像をOCRで解析し得られたテキストデータを搾取するなどがある。

Trend Microはこれらマルウェアが同じアプリ証明書やネットワークインフラを共有していることから、同一の攻撃者による犯行であると確信したと説明している。

これらマルウェアはアクセシビリティのアクセス許可を得ることで動作に必要なアクセス許可を勝手に付与する機能や、さまざまな方法でアプリの永続化を試みるなどの特徴がある。強制終了やアンインストールを行おうとするとホーム画面にリダイレクトする機能により、通常の手段でマルウェアを削除することは困難とされている。

Trend Microはこのような脅威から身を守るために、アプリの開発者の評価を事前に確認することや、システムを最新のバージョンに更新するなどのベストプラクティスを採用することを促している。