Android端末をターゲットに「OCRソフトウェアで仮想通貨の認証情報を盗むマルウェア」が280種類以上も見つかる

光学文字認識(OCR)技術を用いて画面上に表示されている文字情報を認識することで、仮想通貨ウォレットアプリの認証情報を盗み出す悪意のあるAndroidアプリの存在を、セキュリティ企業のMcAfeeが指摘しています。McAfeeによると、OCRを用いて認証情報を盗む悪意のあるアプリは、280種類以上も存在するそうです。
New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition | McAfee Blog
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition/

SpyAgent Android malware steals your crypto recovery phrases from images
https://www.bleepingcomputer.com/news/security/spyagent-android-malware-steals-your-crypto-recovery-phrases-from-images/
Found: 280 Android apps that use OCR to steal cryptocurrency credentials | Ars Technica
https://arstechnica.com/security/2024/09/found-280-android-apps-that-use-ocr-to-steal-cryptocurrency-credentials/
McAfeeによると、仮想通貨ウォレットアプリの認証情報を盗む悪意のあるアプリ(マルウェア)は、銀行・政府機関・テレビストリーミングサービス・公共事業などの公式アプリに扮し、フィッシングメール経由で配布されているそうです。これらのマルウェアをインストールしてしまうと、デバイス内のテキストメッセージや連絡先、画像などを攻撃者が管理するリモートサーバーに勝手に送信されてしまいます。なお、問題のアプリがGoogle Play上で配信されていたという証拠は、記事作成時点では見つかっていません。
これらのマルウェアはOCRソフトウェアを用いることで、盗み出した情報に表示されている仮想通貨ウォレットアプリの認証情報を抽出しようとする点が特徴です。セキュリティ企業McAfeeの研究員であるサンリョル・リュウ氏は、悪意のあるアプリが盗んだデータを送信するサーバーに不正アクセスすることで、この事実を発見したと説明しています。同氏は「サーバーのセキュリティ設定が甘く、本来はサーバー管理者のみが閲覧可能なページにアクセスできるようになっていた」とも説明しました。
以下はマルウェアを配布している攻撃者が運用するリモートサーバー上に存在する、OCRソフトウェアを管理するページのスクリーンショット。マルウェアに感染したデバイスから盗み出したデータをOCRソフトウェアでテキスト情報に変換していることがよくわかります。

リュウ氏は「ページを調べたところ、攻撃者の主な目的は仮想通貨ウォレットのニーモニックリカバリフレーズを入手することだったことが明らかになりました。これは被害者の仮想通貨資産にアクセスし、場合によっては使い果たすことに重点を置いていることを示唆しています」と記しています。
リュウ氏によると、攻撃者はリモートサーバー側でPythonとJavascriptを使用して盗んだデータを処理しており、具体的にはOCRを使用して画像をテキストに変換し、これを管理パネルで管理しているそうです。このプロセスは盗んだ情報の取り扱いと利用が高度に洗練されていることを示しているとリュウ氏は指摘しました。以下のPythonコードは画像に表示されているテキストをOCRで読み取りテキストに変換するためのものです。

マルウェアは当初は制御サーバーとの通信にHTTPを利用していましたが、記事作成時点ではセキュリティソフトウェアが解析するのがより困難なWebSocketを介して接続するようになっています。つまり、マルウェアは時間の経過と共に複数のアップデートを受けているというわけ。
以下はマルウェアの進化タイムラインを示したもの。2024年6月にWebSocketを利用し始めており、7月には難読化を利用するようになっています。また、マルウェアは当初韓国ユーザーを対象としていたものの、8月頃からイギリス国内でも拡散されるようになったそうです。

リュウ氏は「脅威アクターが人口統計的にも地理的にもその活動範囲を広げていることを示しているため、重要です。イギリスへの進出は、攻撃者が意図的に活動範囲を広げようとしていることを示しており、おそらくマルウェアのローカライズ版を使って新しいユーザーグループを狙っているものと思われます」と記しています。