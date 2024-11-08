攻撃は（いつものように）フィッシングの試行から始まります。ユーザーには、一見すると正当と思われるアプリのダウンロードを促すテキスト・メッセージが届きます。その罠にかかってアプリをインストールすると、SpyAgentマルウェアが動作します。

その標的は、暗号通貨ウォレットに使用される12～24単語の回復フレーズのスクリーンショットです。これらのフレーズは長すぎるため、ユーザーはしばしば後から参照するためにスクリーンショットを撮ります。攻撃者がこれらの画面キャプチャーを侵害した場合、暗号ウォレットを自分の選択したデバイスに復元して、そこに含まれているすべてのデジタル通貨を盗むことができます。そして、資金は一度消えればそれきりです。仮想通貨プロトコルの性質上、トランザクションが完了すると、その状態を元に戻すことはできません。間違ったアドレスに送金された場合、送金者は受信者に、返金トランザクションを作成して完了するよう依頼する必要があります。

ユーザーが復元フレーズにスクリーンショットを撮り、SpyAgentに盗まれたら、攻撃者はウォレットを復元して、選択した宛先に資金を送金するだけで済みます。

このマルウェアは韓国で拡散しており、 Coin Telegraphによると280以上のAPKが影響を受けています。これらのアプリケーションは、公式のGoogle Playストアの外部で配布されており、多くの場合はSMSメッセージやソーシャルメディアの投稿を使用してユーザーの関心を引いています。感染したアプリの中には、韓国または英国の官公庁・自治体サービスを模倣しているものもあれば、出会い系アプリやアダルトコンテンツのアプリに見せかけたものもあります。

また、攻撃者が英国への進出を準備している兆候もあり、より広範囲にわたる侵害につながる可能性があります。さらにこのマルウェアは現在Android専用ですが、iOSバージョンが開発中されている兆候もあります。