セキュリティ研究者は、Coinbase、MetaMask、TokenPocket、およびimTokenサービスのトロイの木馬化したモバイル暗号通貨ウォレットアプリケーションを使用する大規模な悪意のある操作を発見しました。
この悪意ある活動は、2022年3月の早い時期に確認されています。研究者は、この活動をSeaFlowerと名付け、"悪名高いLazarus Groupに次いで、Web3ユーザーを標的とする最も技術的に洗練された脅威 "と表現しています。
最近のレポートの中で、悪意のある暗号通貨アプリは本物のアプリと同じですが、デジタル資産にアクセスするためのユーザーのセキュリティフレーズを盗むことができるバックドアが付属していることを指摘しています。
SeaFlowerの活動の背後にある脅威のアクターは、ソースコード内のコメントの言語、インフラの場所、使用されるフレームワークやサービスなどのヒントから、中国と思われます。
アプリの配布
SeaFlowerの操作の最初のステップは、トロイの木馬化したアプリをできるだけ多くのユーザに広めることです。脅威者は、正規のウェブサイトのクローン、SEOポイズニング、およびブラックSEOの手法によってこれを実現します。
また、ソーシャルメディアチャンネル、フォーラム、マルバタイジングなどでアプリケーションが宣伝されている可能性もありますが、主な流通経路は検索サービスです。
研究者は、Baiduエンジンの検索結果がSeaFlowerの操作によって最も影響を受け、大量のトラフィックを悪意のあるサイトに誘導していることを発見しています。
iOSの場合、サイトはプロビジョニングプロファイルを悪用して、デバイスに悪意のあるアプリケーションをサイドロードし、セキュリティ保護を迂回させます。
プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用されます。プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用され、デバイスをアプリケーションコードのテストに使用することができるため、デバイスに不正なアプリケーションを追加するための強力な方法となります。
バックドア付きアプリ
研究者は、SeaFlowerの作者がどのようにバックドアを仕込んだかを調べるため、アプリをリバースエンジニアリングしたところ、すべてのアプリに類似したコードがあることを発見しました。
iOSのMetaMaskアプリの場合、バックドアコードは、シードフレーズの生成時、および暗号化された形で保存される前に起動されます。つまり、脅威者は、新しいウォレットを作成するとき、または新しくインストールされたアプリに既存のウォレットを追加するときに、パスフレーズを傍受することになります。
バックドアコード内で特定された関数の1つである「startupload」は、シードフレーズを盗み出し、正規ベンダーのものを模倣したドメインに送信する役割を担っています。
例えば、この脅威者は、POSTリクエストを使用して、本物の「infura.io」を装う「trx.lnfura[.]org」にパスフレーズを流出させました。同様に、MetaMaskのオリジナルドメインを模倣した'metanask[.]cc'も使用されました。
関数を隠しているクラスは、base64エンコードアルゴリズムを使用して難読化され、RSA暗号システムで暗号化されています。しかし、鍵はハードコードされているため、解析者はバックドアを解読し、コードをテストし、実行時に検証することができます。
バックドアコードは、Android亜種の悪意あるアプリにそれほど熱心に隠されておらず、研究者はそれほど苦労せずに、より多くの機能にアクセスすることができました。
今回発見されたバックドアで特に興味深いのは、React Native BundleをRCTBridgeのインスタンスに直接注入してJavaScriptを読み込ませている点です。
信頼できる情報源
これらの卑劣な脅威から保護するために、暗号通貨ユーザーは、公式アプリストアや開発者のWebサイトなど、信頼できるソースからのみウォレットアプリケーションをダウンロードする必要があります。
iOSユーザーの場合、iOSやmacOSシステムにあらゆるアプリをインストールすることができるため、リクエストの正当性を確認せずにプロビジョニングプロファイルをインストールしたり受け入れたりすること。