ニュース

ESET、仮想通貨交換所の2段階認証を回避するマルウェアを報告

スマートフォンの通知経由で一時パスワードなどを盗む偽アプリ

(Image: Shutterstock.com)

セキュリティソリューションを提供するESET(イーセット)は6月17日、同社のセキュリティ情報メディアWeLiveSecurityにて、仮想通貨交換所の2段階認証を回避して不正アクセスを行うマルウェアの存在を報告した。確認された2つのアプリは、いずれもトルコの仮想通貨交換所BtcTurkの公式アプリを偽装した偽アプリ。「BtcTurk Pro Beta」という名称でGoogle Play上にアップロードされた。

偽アプリ経由でユーザーがBtcTurkへログインを試みると、入力したIDとパスワードが攻撃者のサーバーへ送られる。さらに、ユーザーにSMSや電子メールで届いた認証コードをマルウェアが読み取り、同様に攻撃者へ送信する。ユーザーが見ている偽アプリのログイン画面には、ログインに失敗した旨が表示される。

偽アプリは、起動時に「通知へのアクセス許可」を要求する。これは偽アプリが他のアプリの通知を読み込んだり閉じたりすることに対して、許可することを意味する。SMSや電子メール形式で届くワンタイムパスワード(OTP)は、メールアプリやSMSアプリが通知として表示してしまう場合がある。偽アプリはこの通知を読み取り、ワンタイムパスワードを盗み出す。通知へのアクセス許可を持つアプリは非表示の通知にもアクセスできるため、通知を非表示にしても防ぐことはできないという。

偽アプリは起動時に通知へのアクセス許可を要求する。日本語の場合「○○での通知へのアクセスを許可しますか?」という文面になる(ESETのWeLiveSecurityサイトより引用)

このマルウェアは、SMSの権限を乗っ取る形式ではないため、誤ってインストールしてしまうと、ユーザーは攻撃を受けていることに気づくのが比較的難しいという特徴がある。本来BtcTurkの公式アプリは公式サイト経由でトルコ人ユーザーに向けてのみ提供されている。偽アプリは異なる名義で6月初頭、二度にわたってGoogle Play上に公開された。合計100人程度のユーザーがインストールした可能性があるという。

今回報告された偽アプリは日本の仮想通貨交換所をターゲットとしたものではないが、今後同様のものが出てくる可能性もある。仮想通貨交換所の関連アプリをインストールする際には、そのアプリが運営会社が公式に公開しているものかどうかを入念に確認するべきだ。