'Crocodilus' マルウェアがシードフレーズを盗み、世界中の暗号通貨ユーザーを標的に

マルウェアが種フレーズ収集パーサーを搭載

Threat Fabricのモバイル脅威インテリジェンス（MTI）チームは、暗号通貨ユーザーに対し、新たなモバイルマルウェアのバリアント、Crocodilusについて警告を発しています。このバリアントは今や自動化された種フレーズ収集機能を含んでいます。もともと3月に特定されたこのマルウェアは、ヨーロッパ諸国から南米のユーザーへのターゲットリストを拡大していると言われています。

最新のブログ投稿で、MTIチームは、Crocodilusの新たなバリアントが特に暗号通貨ウォレットアプリケーションを狙っていると発表しました。このバリアントを特に懸念すべきなのは、種フレーズやプライベートキーを特定のウォレットから抽出するのに役立つ追加のパーサーを備えている点です。

以前のバリアントに存在したアクセシビリティログ機能に基づいているものの、更新されたマルウェアはログオン画面データの前処理を改善しています。この改善により、データを表示する前に、正規表現を用いて特定のフォーマットでデータを抽出することが可能となります。

「以前のCrocodilusに関するブログで、サイバー犯罪者が暗号通貨ウォレットに興味を持っていることについて強調しました。被害者にウォレットアプリを開かせて、画面に表示されるデータをさらに盗もうとしていました」とチームは説明しました。「デバイス側で追加の解析が行われることで、詐欺行為のようなアカウント乗っ取り、被害者の暗号資産を狙う作業にすぐに使える高品質な前処理済みデータを受け取ることができるのです。」

追加のパーサーに加えて、更新されたマルウェアは感染したデバイスの連絡先リストを変更できる機能を備えています。MTIチームは、この機能が攻撃者に「銀行サポート」などといった説得力のある名前の電話番号を追加できるのを可能にしていると疑っています。この連絡先は被害者に対して正当に見せかけた電話をかけ、未知の番号をマークする詐欺防止対策を回避する可能性があります。

MTIチームによると、Crocodilusはトルコとスペインで活発にサイバーキャンペーンを実施しており、大手銀行や暗号通貨プラットフォームのユーザーを標的にしています。トルコでは、オンラインカジノとして偽装し、悪意のある広告を通じて広まり、金融アプリケーションに偽のログインページをオーバーレイします。

スペインでは、偽のブラウザ更新として配布され、ほぼすべてのスペインの銀行を狙っています。小規模なキャンペーンも世界的なターゲットで検出され、アルゼンチン、ブラジル、アメリカ、インドネシア、インドのアプリケーションに影響を与えているとチームは付け加えています。