Last Updated on 2025-04-22 13:38 by admin
2025年4月22日マルウェア「Shibai」「Triada」について追記、比較・解説記事を別にまとめました。
セキュリティ企業Doctor Webの研究者らは、中国の製造業者による安価なAndroidスマートフォンに、WhatsAppやTelegramを模倣したマルウェア入りアプリケーションが事前にインストールされている問題を発見した。この発見は2025年4月に公表された。
これらの偽アプリは、暗号資産取引時にユーザーのウォレットアドレスを攻撃者のものに密かに入れ替える「クリッピング」と呼ばれる手法を使用している。被害者のデバイスでは正しいアドレスが表示されるが、実際には取引は攻撃者のウォレットに送金される仕組みになっている。
影響を受けているのは、SamsungやHuaweiなどの有名ブランドを模倣した「S23 Ultra」「S24 Ultra」「Note 13 Pro」「P70 Ultra」などの名前が付けられた低価格モデルで、少なくとも4つのデバイスはSHOWJIというブランド名で製造されている。
マルウェアはLSPatchと呼ばれるオープンソースプロジェクトを使用して正規アプリに注入され、約40種類のアプリケーションが改変されていることが判明した。このマルウェアは暗号資産ウォレットアドレスの入れ替えだけでなく、デバイス情報、WhatsAppメッセージ、画像ファイル、文書などのユーザーデータも収集する機能を持っている。特に画像ファイルからはウォレットのリカバリーフレーズ(ニーモニック)を探し出す機能も確認されている。
攻撃者は約30のドメインを使用して悪意のあるアプリケーションを配布し、60以上のコマンド&コントロール(C2)サーバーでこの作戦を管理している。Doctor Webの分析によると、攻撃者が使用するウォレット全体で過去2年間に160万ドル(約2億4000万円)以上を受け取っており、そのうち1つのウォレットには50万ドル(約7500万円)の資産が確認されている。
セキュリティ専門家は、企業に対して強力なモバイルデバイス管理ポリシーの採用やデバイスベンダーの慎重な評価を推奨している。また消費者に対しては、信頼できるベンダーからのみ端末を購入し、プリインストールされたアプリケーションを確認し、可能であればモバイルセキュリティソフトウェアをインストールするよう呼びかけている。
from:Android Phones Pre-Downloaded With Malware Target User Crypto Wallets
【編集部解説】
今回の事案は、サイバーセキュリティの世界で「サプライチェーン攻撃」と呼ばれる手法の新たな展開として注目すべきものです。従来のマルウェア感染は、ユーザーが不正なアプリをダウンロードするという行為を経て発生することが多かったのですが、今回のケースでは端末購入時点ですでに感染が完了しているという点が特徴的です。
Doctor Webの調査によると、この攻撃は2024年6月から継続しており、約10ヶ月にわたって被害が拡大していることが分かっています。攻撃者は製造段階でデバイスにマルウェアを仕込むことで、ユーザーが自ら不審なアプリをインストールするというリスク要因を完全に排除しています。
特に注目すべきは、このマルウェアの巧妙さです。暗号資産取引において、ウォレットアドレスは通常25〜42文字の長い文字列であるため、多くのユーザーはコピー&ペースト機能を使用します。このマルウェアはその習慣を悪用し、表示上は正しいアドレスを見せながら、実際の送金先は攻撃者のウォレットに変更するという二重の欺瞞を行っています。
さらに、このマルウェアはデバイス内の画像ファイルをスキャンし、ウォレットのリカバリーフレーズ(ニーモニック)を探し出す機能も持っています。多くのユーザーがリカバリーフレーズをスクリーンショットで保存する習慣があることを悪用した機能です。リカバリーフレーズさえ入手できれば、攻撃者はウォレットの完全な制御権を得ることができます。
被害の金銭的規模も看過できません。Doctor Webの分析によると、攻撃者が使用するウォレット全体で過去2年間に160万ドル以上(約2億4000万円)を受け取っており、そのうち1つのウォレットには50万ドル(約7500万円)の資産が確認されています。これは公開されている一部の情報に過ぎず、実際の被害総額はさらに大きい可能性があります。
この事案が示唆するのは、低価格帯のスマートフォン市場における品質管理とセキュリティ対策の脆弱性です。特に中国の一部メーカーによる「有名ブランドの模倣製品」は、外観や仕様だけでなく、セキュリティ面でも大きなリスクをはらんでいることが明らかになりました。
日本市場においては、こうした無名メーカーの模倣製品が広く流通している状況ではありませんが、個人輸入やネット通販などを通じて入手するケースも考えられます。特に価格の安さに惹かれて購入を検討する方は注意が必要でしょう。
また、この問題は単に個人ユーザーの問題にとどまりません。企業のBYOD(個人所有デバイスの業務利用)ポリシーにも影響を与える可能性があります。従業員が私用で使用する安価なスマートフォンが実はマルウェアに感染していた場合、企業の機密情報や顧客データが漏洩するリスクも生じます。
対策としては、信頼できるベンダーからの製品購入、端末購入後のセキュリティソフトウェアのインストール、そして暗号資産の管理においては専用のハードウェアウォレットの使用が推奨されます。また、リカバリーフレーズなどの重要情報をスクリーンショットで保存するという習慣も避けるべきでしょう。
テクノロジーの民主化により、高性能なスマートフォンが安価に手に入るようになった一方で、「安すぎる製品」には見えないコストが潜んでいる可能性があることを、この事例は私たちに教えてくれています。
【追記】サプライチェーン攻撃の脅威:TriadaとShibaiの比較分析(2025年4月22日追記)
本記事で詳しく解説した、Doctor Webによって報告された低価格Android端末にプリインストールされた暗号資産窃取マルウェアは、「Shibai」として知られています。
このShibaiの事例は、デバイスの製造段階でマルウェアが仕込まれるサプライチェーン攻撃の深刻さを示す、最新の一例です。しかし、同様の手法を用いた脅威はこれが初めてではありません。過去に大きな被害をもたらし、現在も活動が確認されている代表的なマルウェア「Triada」との比較分析を別記事にまとめていますので、ぜひ併せてご覧ください。
【用語解説】
LSPatch:
非rootでXposed(Androidアプリの機能を拡張・改変するフレームワーク)を実現するためのオープンソースプロジェクト。アプリのAPKファイルを修正することで、権限昇格なしにシステムレベルの機能にアクセスできるようにする。
クリッピング(Clipping):
暗号資産取引において、クリップボードの内容を監視し、ウォレットアドレスをコピーした際に攻撃者のアドレスに置き換える手法。長い文字列を手入力せず、コピー&ペーストする人間の習慣を悪用している。
C2サーバー(Command and Control):
マルウェアを遠隔操作するためのサーバー。感染したデバイスはこのサーバーに接続し、指示を受けたり情報を送信したりする。
Shibai(シバイ):
2024年頃から活動が確認され、2025年に報告されたAndroidマルウェア。主に低価格帯の偽装スマートフォンにプリインストールされ、LSPatchフレームワークを利用して正規アプリにコードを注入し、暗号資産ウォレットアドレスを置き換えるクリッパー機能やデータ窃取を行う。
Triada:
高度なAndroidマルウェアの一種。システムプロセスに深く侵入し、SMSメッセージの傍受、ログイン情報の窃取、カメラやマイクの制御などが可能。
サプライチェーン攻撃:
製品の製造・流通過程に介入し、出荷前に悪意のあるコードを埋め込む攻撃手法。エンドユーザーが何もしなくても感染するため、特に危険性が高い。
リカバリーフレーズ(ニーモニック):
暗号資産ウォレットのバックアップとして使用される12〜24個の単語の組み合わせ。このフレーズさえあれば、別のデバイスでもウォレットを復元し、資産にアクセスできる。
【参考リンク】
Doctor Web公式サイト(外部)
ロシアのセキュリティ企業が運営するアンチウイルスソフトウェアの開発会社
Salt Security公式サイト(外部)
API専門のセキュリティ企業で、AIを活用した保護サービスを提供
Zimperium公式サイト(外部)
モバイルセキュリティのリーダー企業で、AI駆動の保護技術を提供
【編集部後記】
みなさんは、スマートフォンを購入する際に何を重視しますか?価格、性能、デザイン…。今回の事例は「安さ」の裏に潜むリスクを教えてくれます。もし暗号資産を扱っている方は、取引時のアドレス確認をどのように行っていますか?コピペだけでなく、最初と最後の数文字だけでも目視確認する習慣が身を守るかもしれません。また、リカバリーフレーズは決して画像として保存せず、物理的な紙に書き留めておくことをお勧めします。皆さんのデバイス選びやセキュリティ対策について、ぜひSNSでシェアしてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
