スマートフォンを狙うマイニングマルウェア
本レポートは、アンラボコリアより発表された内容を翻訳したものです。
---------------------------------------------------------------------------------------------
ユーザー PC のリソースを利用して密かに仮想通貨を採掘 (マイニング) するマルウェアが相次いで発見されている中、最近では Android 端末を狙うマイニングマルウェアも登場した。モバイルゲームアプリなどを装っており、インストールする際には注意が必要である。

アンラボセキュリティ対応センター (AhnLab Security Emergency response Center / 以下、ASEC) は、最近発表した ASEC Report でモバイル端末を狙うマイニングマルウェアについて詳しく説明した。
このマイニングマルウェアは主に Android 端末を攻撃対象としており、大きく ▲Cryptojacking ▲FakeWallet ▲Clipper の3つのタイプに区分することができる。
1. Cryptojacking
Cryptojacking は、スマートフォンに侵入して密かに仮想通貨を採掘して横取りするマルウェアであり、主にモバイルゲームアプリなどを装って流布される。
[図 1] ゲームアプリに偽装した悪性アプリ
ユーザーが悪性アプリをインストールすると、Cryptojacking に感染する。Cryptojacking が仮想通貨を採掘すると、スマートフォンの CPU 使用量が急増するため、スマートフォンの性能が低下する。しかし、ユーザーは採掘されていることに気付かず、ゲームアプリの影響だと勘違いしてしまう場合が多い。
2. FakeWallet
FakeWallet は、仮想通貨ウォレットアプリに偽装するマイニングマルウェアである。偽のウォレットアプリは、ユーザー固有のウォレットアドレスを作成してくれているように見えるが、実際はすべてのユーザーに対して同じウォレットアドレスを作成しており、このアドレスは、攻撃者のウォレットアドレスである。
[図 2] 有名な仮想通貨アプリに偽装した悪性アプリ
[図 2] は、最近人気の仮想通貨ウォレットアプリ 「MyEtherWallet」 に偽装した悪性アプリである。MyEtherWallet のロゴまで悪用しており、ユーザーが Private Key を入力するように誘導する。ユーザーが Private Key を入力してログインボタンをタップすると、「無効なアドレス (invalid Address)」 というメッセージを表示した後、入力されたアドレスとキー情報を攻撃者に転送する。
3. Clipper
Clipper は、スマートフォンのクリップボードを盗み見て、ウォレットアドレスだと判断されるものを検知すると攻撃者に転送するマルウェアである。多くのユーザーがアドレスを直接入力せずにクリップボードを使用してコピー&ペーストすることを利用している。
Clipper 悪性アプリは、スマートフォンにインストールされるとアイコンを非表示にする。ユーザーが悪性アプリを実行すると、「サポート対象外の端末であるため、アプリを削除しました。(Not supported on your device and deleted)」 というメッセージを表示する。しかし、実際はクリップボードをモニタリングしながらウォレット関連の情報だと判断した情報を攻撃者に転送する。
今年に入って仮想通貨の価格が再び上昇したことにより、ユーザーシステムのリソースを利用して仮想通貨を採掘するマルウェアも再び勢いを取り戻している。PC のみならずスマートフォンを狙うマイニングマルウェアも増加しており、スマートフォンを利用する際には注意が必要である。
公式マーケットからアプリをダウンロードすることが望ましいが、最近では公式マーケットでも悪性アプリが発見されており、評判情報を確認したり急な順位変動があるアプリの場合はその理由を細かく確認するなど、注意を払う必要がある。
アンラボは、スマートフォンユーザーを保護するためのセキュリティアプリ 「V3 Mobile」 を提供している。