# FakeWalletキャンペーン：Apple App Storeユーザーを標的とする仮想通貨窃盗アプリ  研究者たちは、**Apple App Store**上で、正規の仮想通貨ウォレットになりすました26個の悪意あるアプリのネットワークを発見しました。その目的は、リカバリーフレーズまたはシードフレーズを盗み、ユーザーの仮想通貨資産を奪うことです。 ## 欺瞞的な手口 このキャンペーンの背後にある攻撃者は、公式製品を模倣するためにいくつかの技術を採用しました。これには、タイプミスを狙ったドメイン名（わずかにスペルミスのある名前を使用する）や、偽のブランド表示の作成が含まれており、主に中国のユーザーを欺いて悪意あるアプリをダウンロードさせようとしていました。 中国における仮想通貨関連アプリの制限により、攻撃者はこれらの悪意あるアプリをゲームや電卓ユーティリティとして偽装し、おそらく禁止措置を回避しようとしていたと考えられます。 ## SparkKittyとの関連 **Kaspersky**の研究者は、これら26個の偽アプリすべてを、同社がFakeWalletと名付けた単一のキャンペーンに関連付けています。同社は、昨年から活動している**SparkKitty**作戦との関連性も指摘しています。 ## フィッシングおよびトロイの木馬化されたアプリ 偽アプリを開くと、ユーザーは仮想通貨サービス正規のポータルサイトのように見えるフィッシングページにリダイレクトされます。これらのサイトは、**iOS**プロビジョニングプロファイルを使用してトロイの木馬化されたウォレットアプリをダウンロードさせることで、被害者を騙します。これは、SparkKittyキャンペーンでも観察された手法であり、正規のエンタープライズ機能が悪用されてマルウェアがデバイスにサイドロードされています。  *Ledgerを装った偽のウェブサイト。出典：Kaspersky* トロイの木馬化されたアプリには、ウォレットのセットアップ中またはリカバリー中にニーモニックフレーズを傍受する悪意あるコードが含まれています。これらのフレーズは**RSA**と**Base64**で暗号化され、攻撃者に送信されます。  *プロビジョニングプロファイルのインストール。出典：Kaspersky* **Ledger**のようなコールドウォレットの場合、攻撃者はアプリ内フィッシングプロンプトを使用して、偽のセキュリティ検証画面を通じてユーザーにシードフレーズを手動で入力させます。 ウォレットのポートまたはリカバリーを目的としたこれらのシードフレーズにより、攻撃者は被害者のウォレットを自身のデバイスで復元し、資金を盗むことが可能になります。  *シードフレーズのフィッシング画面。出典：Kaspersky* ## 地域的ターゲティングと緩和策 **Kaspersky**は、このキャンペーンが主に中国のユーザーを標的にしていると指摘しています。しかし、マルウェア自体には地理的な制限はなく、攻撃者が範囲を拡大することを決定した場合、世界中のユーザーに影響を与える可能性があります。 仮想通貨保有者は、公式アプリストアからダウンロードする場合でも、ダウンロードするアプリの発行元を慎重に確認することを強く推奨します。仮想通貨ウォレットプロバイダーの公式ウェブサイトで提供されているリンクのみを使用することが推奨されます。 ## 過去のインシデント このインシデントは、**Apple App Store**上で発見された不正な**Ledger**アプリが、50人の**macOS**ユーザーから950万ドル相当の仮想通貨を盗んだ最近の事例に続いています。 ## Appleの対応 **Apple**は、**Kaspersky**の開示を受けて、FakeWalletアプリ26個すべてをApp Storeから削除しました。 **BleepingComputer**は、攻撃者がApp Storeの検証を回避した手法について**Apple**にコメントを求めていますが、まだ回答を得ていません。