仮想通貨取引所の認証情報を奪うマルウェア出現 アンドロイドの通知表示から2要素認証(2FA)コード取得

ウィルス対策ソフト「ESET インターネット セキュリティ」を展開するサイバーセキュリティ企業「イーセット(ESET)」は、グーグルのSMS許可制限を回避し、SMS経由で受信した2要素認証(2FA)コードを入手する新たなアンドロイド用マルウェアを報告した。スマートフォンなど侵入したデバイスのディスプレイに表示された通知からワンタイムパスワード(OTP)を取得する。同社ブログにおいて、6月17日の記事で明らかにした

イーセットの研究者によると、2019年3月にグーグルが実施した制限を回避することで、SMS経由でユーザーに送信されたOTPにアクセスできる悪意ある複数のアプリを発見したという。さらに、同じ手法を使って電子メールベースのOTPにアクセスすることも可能と明らかにした。

また研究者は、問題のアプリは、トルコの仮想通貨取引所「Btcターク(BtcTurk)」アプリになりすまし、ログイン認証情報を盗み出すという。またこれらマルウェアは「SMSメッセージを傍受してユーザーのアカウントや取引に関する2FAによる保護を回避するのではなく、スマートフォンなど侵入したデバイスのディスプレイに表示された通知からOTPを取得する」と明かした。さらに、進行中の攻撃に関してユーザーが気が付かないよう対策も施しているそうだ。

「2FAに関する通知を読むだけでなく、被害者が不正取引に気が付かないようにするため、通知自体を表示させないことも可能だ。」

これらマルウェアは、「グーグル プレイ」アプリストアに 「BTCターク・プロ・ベータ(BTCTurk Pro Beta)」というソフト名および開発者名で6月7日に公開され、イーセットがグーグルに報告する前に50人以上のユーザーがインストールしたという。またその後、BTCターク・プロ・ベータとは別の2バージョンも公開されたたが、どちらもアプリストアから削除された。


翻訳・編集 コインテレグラフ日本版