Android端末を標的とした新種マルウェア「Crocodilus」が確認され、暗号通貨ウォレットのシードフレーズを狙った巧妙な手口が注目されている。ThreatFabricの分析によれば、このマルウェアは独自のドロッパーを使い、Android 13以降の保護機能を回避。Play Protectの検出もすり抜ける。

ユーザーには「12時間以内にバックアップしなければアクセス不可になる」といった警告を偽装し、シードフレーズの入力を誘導する。さらに、アクセシビリティサービスの悪用により、画面操作やOTPの取得も可能とされている。初期の被害はトルコとスペインに集中しているが、今後の拡大も警戒されている。

暗号資産を狙う新型マルウェアCrocodilusの実態と危険性

Crocodilusは、従来のバンキングマルウェアとは一線を画す高機能な構成を持ち、Android 13以降のセキュリティ対策すらすり抜ける設計となっている。ThreatFabricの報告によれば、このマルウェアは自作のドロッパーを通じて感染し、Google Play Protectの監視を回避するだけでなく、アクセシビリティサービスの制限までも突破する。この技術により、ユーザーの操作を遠隔で監視・制御し、画面の取得やナビゲーション操作、SMSの送受信、通知の表示まで自在に行える。

Crocodilusの最大の脅威は、ユーザー自身に暗号ウォレットのシードフレーズを入力させるソーシャルエンジニアリングの手法にある。「12時間以内に設定しなければアクセス不可」といったメッセージを画面上に重ねることで、危機感を煽りつつ行動を誘導する。その情報はアクセシビリティログを通じて取得され、攻撃者はウォレット内の資産に容易にアクセス可能となる。単なるマルウェアの枠を超え、ユーザーの心理とデバイスの深部機能を同時に突く構造が注目される。

アクセシビリティ悪用と画面偽装 ユーザーの信頼を逆手に取る巧妙な仕組み

Crocodilusは、デバイスのアクセシビリティサービスへのアクセス権限を獲得することで、通常はアプリに許可されない操作を可能にしている。これにより、標的アプリが起動されたタイミングを察知し、本物そっくりの偽画面を即座に重ねて表示。これにより、ログイン情報やウォレットのシードフレーズなどをユーザーが入力する瞬間を正確に盗み取る。さらに、画面全体を黒く覆って操作を不可に見せかける手法や、端末の音声をミュートにして違和感を隠す工夫も施されている。

特に注目されるのは、Google Authenticatorの画面をキャプチャして2段階認証コードを抜き取る機能である。これにより、ワンタイムパスワードを含む追加認証も突破される可能性があり、単にログイン情報を盗む以上の被害が想定される。ここまでの制御を実現するマルウェアは極めて稀であり、もはやアプリの操作感や外観だけで正規か不正かを判断するのは困難な段階に入っている。操作画面の信頼そのものが脅かされている状況といえる。

トルコ・スペインから拡大の兆し 感染経路と拡散リスクに対する備え

Crocodilusの初期の感染報告はトルコとスペインで確認されており、該当国の銀行アプリや暗号資産アプリが標的にされている。内部のデバッグメッセージや言語設定などから、発信元はトルコとみられているが、コード構造や感染の巧妙さからして、他地域への拡大も想定内とするべきである。感染経路は公式アプリストア外の配信経路が中心とされ、SNS、SMS、偽広告、悪意あるWebページなど多岐にわたる。

ユーザーが自らダウンロードしたアプリにCrocodilusのドロッパーが仕込まれることで、Play Protectの網をかいくぐって感染が成立する点も看過できない。現在のところ日本国内での報告はないが、同様の手法は言語やアプリを変えれば容易に適用可能であり、油断は禁物である。信頼できないアプリのインストールを控えると同時に、セキュリティ機能を常に有効化し、不審な動作に即応できるよう注意を払うことが重要となる。

Source:BleepingComputer