安価なAndroidスマホにプリインストールされたマルウェアが暗号資産を窃取

佐々山 Tacos

2025.04.16

安価なAndroidスマホにプリインストールされたマルウェアが暗号資産を窃取

HackRead – April 14, 2025

マルウェアがプリインストールされた安価なAndroidスマートフォンにより、ユーザーの暗号資産が盗み取られているという。攻撃者が製造段階のデバイスに悪意あるバージョンのWhatsAppアプリを潜り込ませ、これを利用して暗号資産の送金を傍受している旨をDoctor Webの研究者が報告している。

「S23 Ultra」や「Note 13 Pro」、「P70 Ultra」といったモデル名が掲げられた問題のデバイスはプレミアムブランドを模倣しており、魅力的なスペックを備えていると謳って宣伝される。しかし実際にはこれらのデバイスが使用するのは最新版ではなく古いバージョンのAndroidである上、悪性ソフトウェアまで付属しているという。

この悪性ソフトは、暗号クリッパーとして機能する偽バージョンのWhatsAPPアプリ。このアプリは、暗号資産のやり取りのためにユーザーがコピーした暗号ウォレットのアドレスを、攻撃者所有のウォレットのアドレスへ置き換える能力を持つ。これにより、ユーザーが送金を行うとその資産は攻撃者の手に渡ることになるが、マルウェアは送信者の画面に本来の正しいアドレスのみを提示するためユーザー本人は疑念を抱かず、被害に遭ったことにも気づきづらいという。

加えてこのスパイウェアには、画像フォルダーを嗅ぎ回る能力も備わる。暗号資産ユーザーらはメモ代わりにウォレットのリカバリーフレーズのスクリーンショットを撮影・所有している場合があるが、同マルウェアは画像フォルダからこのリカバリーフレーズの画像を探し出すことができる。リカバリーフレーズは暗号ウォレットのマスターキーとして機能するため、攻撃者の手に渡ればほんの数分でアカウント内の資産が残らず盗み取られてしまう恐れがあるとされる。なおDoctor Webは、攻撃者が使用する悪性アプリはWhatsAppだけではなく、Telegramや暗号ウォレット（Trust WalletやMathWalletなど）、QRコードリーダーなど40種類近くのアプリの偽物バージョンが見つかったと報告している。

今回の攻撃キャンペーンを特段危険性の高いものにしている要因は、サプライチェーンの侵害を伴う点。研究者はマルウェアへの感染が製造段階で、つまりスマートフォンが店頭に並ぶ前の段階で発生していると考えているという。デバイスの多くは中国の比較的小規模なブランドから発売されており、3分の1が「SHOWJI」というブランドのものだったとされる。

Doctor Webはこれまでに、同キャンペーンで使われたサーバーを60台、ドメインを30件特定していることのほか、攻撃のウォレットがすでに100万ドルを超える額の資産を受け取っていることも明かしている。しかしウォレットアドレスの多くは動的に生成されるため、実際の金額規模はわかっていない。

現在のターゲットはロシア語を話すユーザーであるとみられるが、過去には安価なAndroidデバイスにプリインストールされたマルウェアが世界各地のユーザーに対する攻撃で使われていた実績がある。このため、使用言語/所在地が何語/どこであろうと、ユーザーには認定されていない販売者からAndroidデバイスを購入しない、リカバリーフレーズやパスワードを暗号化されていない画像/テキストファイルの状態で保管しない、といった予防策を講じることが推奨される。