2019年1月8日、Google Playストアで「クリッパーマルウェア」の最初の事例が確認されました。これは、無害なアプリを装って人々を騙し、ダウンロードさせ、暗号通貨の資金をマルウェアの作者にリダイレクトし始めます。

しかし、クリッパーマルウェアとは何か、どのように動作するのか、そしてどのように攻撃を回避すればよいのでしょうか。

クリッパーマルウェアは何ですか？

クリッパーマルウェアは、取引中の暗号通貨ウォレットアドレスを標的とします。ウォレットアドレスは、暗号通貨版の銀行口座番号に似ています。誰かに暗号通貨で支払ってもらいたい場合、自分のウォレットアドレスを相手に渡し、受取人はそれを支払詳細に入力します。

暗号通貨の仕組みは、ハンディガイドでご確認ください。

マルウェア「Clipper」は、ウォレットのアドレスをマルウェアの作者が所有するアドレスと交換することで、暗号通貨取引を乗っ取ります。ユーザーが暗号通貨口座から支払いを行った場合、意図した受取人ではなく、マルウェアの作者に支払うことになってしまいます。

マルウェアが高額な取引を乗っ取ることに成功した場合、深刻な金銭的損失が発生する可能性があります。

クリッパーマルウェアの仕組み

クリッパーマルウェアは、コピーされたデータが保存されている感染端末のクリップボードを監視することで、この交換を実行します。ユーザーがデータをコピーするたびに、クリッパーはそのデータに暗号通貨のウォレットアドレスが含まれているかどうかをチェックします。その場合、マルウェアはそのアドレスをマルウェア作者のアドレスと交換します。

このため、ユーザーがアドレスを貼り付けようとすると、正規のアドレスではなく、乗っ取られたアドレスを貼り付けてしまうのです。

マルウェア「Clipper」は、ウォレットアドレスの複雑さを利用しています。この長い数字や文字の列は、ランダムに選ばれているように見えます。ユーザーが何度も利用しない限り、ウォレットアドレスが交換されたことに気づくことはほとんどない。

さらに悪いことに、その複雑さゆえに、人々がアドレスをコピー＆ペーストしやすく、まさにクリッパーマルウェアの思うつぼなのです。

何年ぶりでしょうか？

クリッパーマルウェア自体は目新しいものではありません。2017年頃に参入し、主にWindows搭載機を中心に展開しています。その後、Android向けのクリッパーマルウェアが開発され、ブラックマーケットで販売されるようになり、感染したアプリが怪しいウェブサイトで見つかることがあります。

これらのウェブサイトは、2016年に100万台のデバイスに感染したマルウェア「Gooligan」の中継地となりました。

公式googleplayショップのアプリがクリッパーマルウェアに感染したのは今回が初めてです。Googleplayのショップにあるアプリは、ランダムなウェブサイトにあるアプリよりも信頼性が高く、あるレベルの信憑性を持っているのです。

つまり、人々は何の疑問も持たずにショップからアプリをダウンロードし、インストールすることが多いのですが、これこそマルウェア作者の思うつぼなのです。

クリッパーマルウェアが含まれるアプリケーションは？

クリッパーマルウェアは、MetaMaskと呼ばれるアプリケーションに常駐しています。これは、暗号通貨Etherのブラウザベースの分散アプリケーションを提供できる本物のサービスです。 MetaMaskはまだ公式のAndroidアプリを持っていないため、マルウェアの作者はこれを利用して、持っていると思わせているのです。

偽のメタマスクアプリケーションは、クリップボード内の暗号通貨アドレスを交換するだけではありません。また、偽のアカウント設定の一環として、イーサリアムの詳細情報を提供するようユーザーに要求します。疑わしくないユーザーが詳細を入力すると、マルウェアの作者はアカウントにログインして自分で消去するために必要なすべての情報を手に入れることができます。

幸いなことに、このバリカン型マルウェアは、被害が大きくなる前にセキュリティ会社が発見してくれました。この偽MetaMaskアプリは、2019年2月1日にアップロードされ、1週間以上経ってから報告され削除されました。

暗号通貨を使った攻撃の増加

この攻撃経路は新しいものですが、それほど驚くことではありません。暗号通貨は現在非常に大きなビジネスであり、それに伴い多くのお金を稼ぐことができる可能性があります。多くの人が合法的な方法でお金を稼ぐことに満足している一方で、他者から搾取しようとする人たちが常に存在します。

暗号泥棒は、世界中のマルウェア作者が好んで使用するものです。デバイスのプロセッサをハイジャックして、作者の暗号通貨にし、できればエンドユーザーに気づかれないようにするのです。

このクリッパー型マルウェアの例と同様に、セキュリティ企業は、Google Playショップのアプリに感染する暗号窃盗団を発見しました。そのため、これはAndroid**ユーザーを対象とした暗号通貨ベースのマルウェア攻撃のほんの始まりに過ぎない可能性があります。

クリッパーマルウェアの攻撃を回避する方法

クリッパーマルウェアは、ユーザーがその存在に気づかず、警告サインを無視することを前提にしています。クリッパーマルウェアの仕組みを理解することは、マルウェア撃退への大きな一歩となります。この記事を読むことで、あなたは9割の仕事をしたことになるのです。

まず、アプリは必ずgoogleplay shopからダウンロードしてください。googleplayは完璧ではありませんが、インターネット上の怪しいサイトと比べれば、はるかに安全です。Android向けの「サードパーティショップ」として機能するウェブサイトは、Google Playよりもマルウェアが含まれている可能性が高いため、なるべく避けてください。

Google Playでアプリをダウンロードする際は、アプリの総ダウンロード数を再確認した上でインストールしてください。アプリの登場から時間が経っておらず、ダウンロード数が少ない場合、ダウンロードするのは危険かもしれません。同様に、アプリが人気サービスのモバイル版であると主張している場合、開発者の名前を再確認してください。

正式な開発者の名前と少し（あるいは少し）でも違っていたら、それは何かが間違っているという大きな警告です。

万が一、クリッパー型マルウェアに感染してしまった場合でも、注意することで攻撃を回避することができます。貼り付けたウォレットアドレスが途中で変更されていないか、再度確認してください。貼り付けたアドレスがコピーしたものと異なる場合は、クリッパーマルウェアがシステムに潜んでいます。

完全なウイルススキャンを行い、最近インストールした疑わしいアプリケーションを削除してください。

クリッパーマルウェアの翼を切り取る

クリッパーマルウェアは、大量の暗号通貨を扱う人にとって、壊滅的な被害をもたらす可能性があります。ウォレットアドレスが複雑であることと、一般的なユーザがコピー＆ペーストを行う傾向があることが、クリッパーマルウェアに攻撃の機会を与えています。

多くの人は、手遅れになるまで自分が何をしているのか分からないかもしれません。

幸いなことに、クリッパーマルウェアの撃退は簡単です。疑わしいアプリは絶対にダウンロードせず、取引を確認する前にすべてのウォレットリンクを再確認してください。

モバイル端末のマルウェアが心配ですか？ スマート**のセキュリティを強化し、モバイルマルウェアに対抗する方法をご紹介します。