サイバーセキュリティ研究者たちは、少なくとも2025年秋から、人気の仮想通貨ウォレットを装ってリカバリーフレーズと秘密鍵を盗もうとする悪意のあるアプリのセットを**Apple App Store**で発見しました。 **Kaspersky**の研究者である**Sergey Puzan**氏は、「起動すると、これらのアプリはユーザーをApp Storeと似たように設計されたブラウザページにリダイレクトし、正規のウォレットのトロイの木馬化されたバージョンを配布します。感染したアプリは、リカバリーフレーズと秘密鍵をハイジャックするように特別に設計されています。」と述べています。 ### FakeWalletがApp Storeに登場 **FakeWallet**と総称される26個のアプリは、Bitpie、**Coinbase**、imToken、**Ledger**、**MetaMask**、TokenPocket、**Trust Wallet**といった様々な人気ウォレットを模倣しています。これらのアプリの多くは、開示後に**Apple**によって削除されました。これらのアプリが**Google Play Store**を通じて配布されたという証拠はありません。 過去に偽のウェブサイトを通じて配布された悪意のある仮想通貨ウォレットは、iOSプロビジョニングプロファイルを悪用してユーザーにインストールさせていましたが、最新の仮想通貨窃盗スキームはいくつかの点で改善されています。まず、ユーザーの**Apple**アカウントが中国に設定されている場合、これらのアプリは**Apple's App Store**から直接ダウンロードできます。 これらのアプリは元のアプリと似たアイコンを持っていますが、意図的に名前にタイプミス（例：LeddgerNew）があり、不注意なユーザーを騙してダウンロードさせます。場合によっては、アプリ名とアイコンは仮想通貨とは無関係です。代わりに、規制上の理由で「App Storeで利用できない」と主張し、ユーザーを公式ウォレットアプリのダウンロードに誘導するためのプレースホルダーとして使用されます。 **Kaspersky**は、同じ脅威アクターに関連している可能性のある同様のアプリを複数特定したとも述べています。これらのアプリは悪意のある機能を有効にしていませんが、ゲーム、電卓、タスクプランナーなどの無害なサービスを模倣していることが判明しました。起動すると、これらのアプリはウェブブラウザでリンクを開き、エンタープライズプロビジョニングプロファイルを利用して、被害者のデバイスにウォレットアプリをインストールします。 **Puzan**氏は、「攻撃者は、特定のウォレットに合わせて調整された、多種多様な悪意のあるモジュールを次々と生み出しています。ほとんどの場合、マルウェアは悪意のあるライブラリの注入を通じて配信されますが、アプリの元のソースコードが変更されたビルドもいくつか見つかっています。」と述べています。   ### 戦術とデータ漏洩 これらの感染の最終的な目的は、ホットウォレットとコールドウォレットの両方からニーモニックフレーズを探し出し、外部サーバーに漏洩させることです。これにより、オペレーターは被害者のウォレットを乗っ取り、仮想通貨資産を枯渇させたり、不正な取引を開始したりできるようになります。 シードフレーズは、ユーザーがリカバリーフレーズを入力する画面を担当するコードをフックするか、被害者に検証ステップの一部としてニーモニックを入力するように指示するフィッシングページを表示することによってキャプチャされます。 昨年のSparkKittyトロイの木馬キャンペーンに関連する脅威アクターの仕業である可能性が疑われています。これは、感染したアプリの一部に光学文字認識（OCR）を使用してウォレットリカバリーフレーズを盗むモジュールも含まれており、両方のキャンペーンがネイティブの中国人によって行われ、特に仮想通貨資産を標的としているように見えるためです。 **Kaspersky**は、「**FakeWallet**キャンペーンは、App Storeに公開されたフィッシングアプリを介してペイロードを配信したり、コールドウォレットアプリに埋め込まれたり、巧妙なフィッシング通知を使用してユーザーを騙してニーモニックを漏洩させたりするなど、新しい戦術を採用することで勢いを増しています。」と述べています。 ### MiningDropper Androidマルウェアフレームワークが登場 この発見は、**Cyble**が、仮想通貨マイニングと情報窃盗、リモートアクセス、バンキングマルウェアを組み合わせて、インド、ラテンアメリカ、ヨーロッパ、アジアのユーザーを標的としたBTMOB RATキャンペーンの一部として攻撃を行う、**MiningDropper**（別名BeatBanker）として知られる巧妙なAndroidマルウェア配信フレームワークに光を当てたのと同時期に行われました。 **MiningDropper**は、オープンソースのAndroidアプリケーションプロジェクトLumolightのトロイの木馬化されたバージョンを通じて配布されており、キャンペーンは銀行機関や地域の運輸局を装った偽のウェブサイトを使用してマルウェアを拡散しています。起動すると、パッケージ内の暗号化されたアセットアーカイブからマイナーとトロイの木馬ペイロードを抽出するための多段階シーケンスがアクティブになります。  **Cyble**は、「**MiningDropper**は、XORベースのネイティブ難読化、AES暗号化されたペイロードステージング、動的なDEXロード、およびアンチエミュレーション技術を組み合わせた多段階ペイロード配信アーキテクチャを採用しています。」と述べています。「**MiningDropper**は、XORベースのネイティブ難読化、AES暗号化されたペイロードステージング、動的なDEXロード、およびアンチエミュレーション技術を組み合わせた多段階ペイロード配信アーキテクチャを採用しています。」 「**MiningDropper**は、静的分析を困難にし、脅威アクターに最終的なペイロード配信の柔軟性を提供する、レイヤー化されたモジュラーなAndroidマルウェアアーキテクチャを示しています。この設計により、脅威アクターは、最終的な収益化目標を運用ニーズに合わせて適応させながら、数百のサンプル全体で同じ配布およびインストールフレームワークを再利用できます。」