SparkCat マルウェア: モバイル暗号ウォレットの脅威

偽装アプリが暗号通貨ウォレットを狙う

SparkCat マルウェアと呼ばれる脅威が、Apple と Google の両方のアプリ ストアに侵入していることが判明しました。この攻撃では、不正なアプリケーションを使用してユーザーから機密情報を収集し、特に暗号通貨ウォレットに関連するニーモニック フレーズをターゲットにしています。一見正当なアプリケーションに悪意のあるコンポーネントを埋め込むことで、SparkCat の背後にいる攻撃者は、疑いを持たない被害者から重要な回復情報を盗む効果的な手段を作り出しました。

この攻撃は、高度な光学文字認識 (OCR) システムを利用して、感染したデバイスに保存されている画像をスキャンし、テキストを抽出します。このプロセスにより、マルウェアは回復フレーズを識別してキャプチャし、それを攻撃者が管理するリモート サーバーに送信できます。この手法の影響は特に懸念されます。脅威アクターが従来のセキュリティ対策を回避し、デジタル資産に不正アクセスできるようになるためです。

SparkCatマルウェアの動作方法

SparkCat キャンペーンの中心にあるのは、Spark と呼ばれる Java コンポーネントを含む組み込みソフトウェア開発キット (SDK) です。このコンポーネントは、分析モジュールであると偽って表示されます。研究者は、この SDK がサプライ チェーンの侵害によって導入されたのか、開発者が意図的にアプリケーションに組み込んだのかを現在も調査中です。

SparkCat は、人工知能 (AI) ツール、食品配達サービス、Web3 関連アプリを装ったアプリケーション内で発見されています。これらのアプリケーションの一部は、限定的な正規の機能を提供しますが、最終的にはマルウェアの真の目的である、保存された画像から復元フレーズを収集するための手段となります。悪意のあるモジュールがアクティブになると、マルウェアは Google の ML Kit ライブラリを使用して構築された OCR プラグインを復号化して展開し、画像ギャラリーをスキャンして、暗号通貨ウォレットにリンクされた特定のキーワードを探します。

AndroidからiOSへ拡大

OCR 技術を利用した脅威はこれまで Android で検出されてきましたが、SparkCat は Apple の App Store に現れたこのような戦術の最初の例の 1 つです。このマルウェアの iOS 版も同様の手法を採用しており、Google の ML Kit ライブラリを使用して画像からデータを抽出します。さらに、このマルウェアはコマンド アンド コントロール (C2) 機能に Rust ベースの通信技術を組み込んでいますが、これはモバイル ベースの脅威としては珍しいアプローチです。

報告によると、SparkCat は 2024 年 3 月から積極的に導入されており、影響を受けるアプリは公式アプリ ストアとサードパーティ アプリ ストアの両方で配布されています。この悪意のあるコードを含む一部のアプリは、削除されるまでに 242,000 回以上ダウンロードされており、かなりのユーザー ベースが危険にさらされた可能性があることが示されています。

この攻撃の影響

SparkCat マルウェアに関連する主なリスクは、暗号通貨ウォレットのリカバリフレーズを盗む能力にあります。これらのフレーズは重要なセキュリティ対策であり、デバイスを紛失したり侵害されたりした場合に、ユーザーがデジタル資産へのアクセスを回復できるようにします。これらのフレーズが悪意のある人物の手に渡ると、脅威の攻撃者は影響を受けたウォレットから資金を移動することができ、被害者は回復の手段をほとんどまたはまったく持たなくなります。

SparkCat の活動は、金銭的損失以外にも、アプリのセキュリティに関する幅広い懸念を浮き彫りにしています。このマルウェアが Apple の App Store と Google Play の両方に侵入したという事実は、公開されたアプリケーションの審査プロセスに潜在的な欠陥があることを浮き彫りにしています。セキュリティの保証として公式アプリ ストアに頼っているユーザーは、SparkCat のような高度な脅威から常に安全であるとは限りません。

SparkCat の背後にいるのは誰ですか?

マルウェアの機能、キーワードの選択、および配布地域を分析すると、この攻撃は主にヨーロッパとアジアのユーザーをターゲットにしていることがわかります。さらに、研究者は、SparkCat の犯人は中国語に堪能であることを示しており、攻撃者の起源地域がそこにある可能性を示唆しています。ただし、最終的な帰属の特定は現在も進行中です。

SparkCat の特徴の 1 つは、目立たずに動作する点です。感染したアプリが要求する権限は無害に見え、多くの場合、アプリが主張する機能と一致しています。この欺瞞的なアプローチにより、ユーザーはダウンロードしたソフトウェア内に隠れた脅威が存在することを認識することが困難になります。

SparkCat と新たな脅威から学ぶ教訓

SparkCat の出現により、たとえ公式ソースからであっても、アプリケーションをインストールする際には警戒を怠らないことの重要性が再認識されました。サイバーセキュリティの専門家は、新しいソフトウェアをダウンロードする前に、アプリの権限を徹底的に確認し、ユーザーのレビューを精査し、開発者の正当性を確認することを推奨しています。サイバー犯罪者が戦術を洗練させ続ける中、ユーザーは機密情報を保護するために慎重かつ積極的に行動する必要があります。

最近の傾向では、macOS システムやモバイル デバイスを狙った脅威が増加していることも示されています。暗号通貨やデジタル資産の人気が高まるにつれ、サイバー犯罪者にとって魅力的なターゲットとなり、セキュリティ対策の強化の必要性がさらに高まっています。SparkCat は、確立されたデジタル プラットフォームであっても、新たな脅威から逃れられないことをはっきりと思い出させてくれます。

業界の対応と保護対策

SparkCat の発見を受けて、Apple と Google はそれぞれ自社のストアから問題のあるアプリケーションを削除する措置を講じました。2025 年 2 月初旬現在、これらのアプリはダウンロードできなくなりました。Google はまた、Play Protect 機能を通じて Android ユーザーがこのマルウェアの既知のバージョンから自動的に保護されていることを確認しました。

これらの措置により、当面のリスクの一部は軽減されますが、影響を受けるアプリケーションを以前にインストールしたことがあるユーザーは、デバイスを保護するために積極的な措置を講じる必要があります。暗号通貨ウォレットへの不正アクセスの確認、疑わしいアプリの削除、セキュリティ設定の更新はすべて、潜在的な被害を最小限に抑えるための推奨される対策です。

結論

SparkCat マルウェア キャンペーンは、暗号通貨ユーザーを狙うサイバー脅威の高度化の好例です。アプリ ストアの脆弱性を悪用し、高度な OCR 技術を活用することで、攻撃者はデジタル窃盗の新たなレベルの巧妙さを示しました。今後、新たな脅威に関する情報を常に把握し、厳格なサイバー セキュリティ対策を採用することが、デジタル セキュリティの維持に不可欠です。