Kaspersky Labは2月5日(現地時間)、「SparkCat crypto stealer in Google Play and App Store|Securelist」において、AppleストアおよびGoogle Playから暗号資産を窃取する悪意のあるアプリを発見したと報じた。

これらアプリはデバイスに保存された画像ファイルから、OCR(Optical Character Recognition:光学文字認識)によって文字を読み取り、暗号資産ウォレットの回復フレーズ(別名: シードフレーズ、リカバリーフレーズ)を窃取するとされる。

  • SparkCat crypto stealer in Google Play and App Store|Securelist

    SparkCat crypto stealer in Google Play and App Store|Securelist

サプライチェーン攻撃の可能性

悪意のあるコードはSDK(Software Development Kit)の「Spark」から発見された。Google Playからは合計18の悪意のあるアプリが発見され、Appleストアからも複数のアプリが発見されている。AppleストアからOCRを使用した不正アプリ配布が確認されたのは今回が初めてとされる。

Kaspersky Labは明らかに悪意を持って開発されたアプリが含まれているとしてサプライチェーン攻撃とは断定できないと説明している。しかしながら、食品配達アプリなど悪意のなさそうなアプリも確認されており、一部はサプライチェーン攻撃の被害に遭った可能性がある。

  • 侵害されたアプリの例 - 引用:Kaspersky Lab

    侵害されたアプリの例 引用:Kaspersky Lab

犯人は中国語を日常的に利用可能

この攻撃の目的は暗号資産の窃取とされ、そのために暗号資産ウォレットの回復フレーズを窃取する。マルウェアは回復フレーズを識別して窃取するが柔軟性もあり、画像に含まれるメッセージやパスワードなども窃取される可能性があるという。

マルウェアのコードからは中国語のコメントが発見されている。また、コマンド&コントロール(C2: Command and Control)サーバのエラー応答も中国語だったことが確認されている。これらのことから、脅威アクターは少なくとも中国語を日常的に使用する人物と推測されている。

影響と対策

Kaspersky Labは一連の攻撃およびマルウェアを「SparkCat」と名付け追跡している。SparkCatはGoogleのML Kitライブラリに含まれる「TextRecognizer」を使用して画像から文字を抽出する。TextRecognizerはシステム言語に応じてOCRモデルをロードするため、日本語も解析可能とされる。

マルウェアを含むGoogle Playアプリは、合計242,000回以上ダウンロードされた。現在もアプリの一部はGoogle Playからダウンロード可能とされる。

Kaspersky LabはGoogle Playから配布されたマルウェアを含むアプリおよび、iOSフレームワークのハッシュ値一覧をセキュリティ侵害インジケーター(IoC: Indicator of Compromise)として公開している。これらをもとにアプリを特定することは容易ではないが、Kaspersky Labはユーザーに対して影響を受けるアプリを削除するように推奨している。また回避策として、デバイスに保存された写真から機密情報を含むものを削除するか、または安全な場所に移動することを推奨している。