マルウェア
偽の暗号資産マイニングアプリで被害者を広告へ誘導、定期購読料金の支払いを求める
トレンドマイクロでは最近、クラウド上での暗号資産(旧仮想通貨)マイニングアプリを装ったモバイル詐欺アプリを8件検出しました※。アプリの説明によると、ユーザはクラウド上でのマイニングに投資し、暗号資産を獲得することができるとされています。
トレンドマイクロでは最近、クラウド上での暗号資産(旧仮想通貨)マイニングアプリを装ったモバイル詐欺アプリを8件検出しました※。アプリの説明によると、ユーザはクラウド上でのマイニングに投資し、暗号資産を獲得することができるとされています。しかし、実際にアプリを解析してみると、このアプリはマイニング機能向上と称して広告へと誘導し、月額平均15USドル程度の定期購読サービスに加入させるだけであることが分かりました。弊社が調査結果をGoogleに報告すると、当該アプリはPlay Storeから直ちに削除されました。
※弊社ではAndroidOS_FakeMinerPay および AndroidOS_FakeMinerAとして検出します。
今回検出した不正アプリ
詐欺アプリと判定され、現在既にPlay Storeから入手不能となっているアプリは以下の通りです。
- BitFunds – Crypto Cloud Mining
- Bitcoin Miner – Cloud Mining
- Bitcoin (BTC) – Pool Mining Cloud Wallet
- Crypto Holic – Bitcoin Cloud Mining
- Daily Bitcoin Rewards – Cloud Based Mining System
- Bitcoin 2021
- MineBit Pro - Crypto Cloud Mining & btc miner
- Ethereum (ETH) - Pool Mining Cloud
このうち2件は有料アプリです。Bitcoin Cloud Miningは12.99USドル、Daily Bitcoin Rewards – Cloud Based Mining Systemは5.99USドルを支払う必要がありました。
図1:Play Store上で入手可能だった偽の暗号資産アプリ
これらの詐欺アプリはGoogle Play上で「cloud mining」というキーワードで検索されるものでした。現在でも、同様の懸念を抱かせるアプリは依然として検索にヒットする場合があり、トレンドマイクロでは順次解析の上、不正アプリであった場合にはPlay Storeの運営者であるGoogleにも連絡する対応を行っています。
偽の暗号資産アプリの被害状況
当社の脅威データベース「Smart Protection Network(SPN)」の機能である「Mobile App Reputation Service(MARS)」によると、120を超える偽の暗号資産マイニングアプリが利用されていることが分かっています。こうしたアプリは、実際には暗号資産のマイニング能力を備えておらず、ユーザを騙してアプリ内の広告に誘導するだけであり、2020年7月から2021年7月までの期間に世界全体で4,500人以上のユーザが被害を受けています。なお、弊社の脅威データベースはこのサンプルをAndroidOS_FakeMinerPay および AndroidOS_FakeMinerAdとして検出しています。
図2:Play Storeから削除される前の「BitFunds – Crypto Cloud Mining」インストール回数
アプリの解析結果:
●マイニング機能は一切無し
トレンドマイクロの解析結果では、これらのアプリには暗号資産をマイニングする機能は一切備わっていないことが確認されました。アプリのユーザインターフェース(UI)上で表示されているマイニング状況は、カウンターとランダムな関数が組み込まれているローカルのマイニングシミュレーションモジュールを介して実行されます。
図3:カウンターとランダムな関数を使用してマイニングを偽装するコード
これらのアプリはクラウド上でのマイニング作業とは無関係である、或いは暗号資産のマイニング機能を備えていないにもかかわらず、一部のアプリはユーザに対して暗号資産のマイニング能力向上と称して、アプリ内の課金システムを介して14.99USドルから最高で189.99USドルにも及ぶ支払いを求めてきます。Daily Bitcoin Rewards – Cloud Based Mining Systemというアプリでは、お気に入りのマイニング用マシンの「購入」を勧め、より迅速に仮想通貨を獲得するよう促します。
●アプリの利用規約には「ゲーム」との表記あり
これら詐欺アプリの一部はPlay Storeのファイナンスカテゴリに掲載されており、アプリのディスプレイページにはクラウドマイニングアプリと紹介されています。
図4:MineBit Pro - Crypto Cloud Mining & btc minerアプリのディスプレイページ
しかし、アプリの利用規約には「本アプリは暗号資産のマイニング機能を備えていない、単なるゲームです」と明記されています。従って、同アプリはユーザに対して暗号資産の支払う義務はありません。また、アプリ内で購入した架空の商品等に関する見返りを保証するものでもありません。
図5:MineBit Pro - Crypto Cloud Mining & btc minerアプリの利用規約
もしユーザがアプリの利用規約を読まず、ユーザインターフェース(UI)上の記載を鵜吞みにしてしまった場合、それがただのゲームに過ぎないと知らずにアプリ内でツールを購入してしまう可能性があります。
●課金ではなく広告をクリックさせようとするアプリも
また、調査の結果から、これらの偽の暗号資産アプリの一部では、マイニング機能向上に対する課金ではなく、ユーザに広告をクリックさせようとしていることが判明しました。Bitcoin (BTC) – Pool Mining Cloud Wallet および Bitcoin 2021の両アプリは以下の悪意ある特徴を備えています。
- インターフェースに広告が満載
- ユーザはマイニング中に自身がロボットではないことを証明するために、広告のクリックを求められる
- ユーザにはアプリ内の動画広告を視聴後、マイニングを開始することができると通知される
- ユーザはアプリ内の動画広告を視聴してマイニングの速度を上げるよう促される
図6:不正暗号資産マイニングアプリに表示される広告の一例
図7:ユーザが「Start Mining」ボタンをクリックした場合の動画広告表示プロセスを示すコード
●当然、暗号資産を得ることはできない
残念ながら、ユーザがアプリ内の広告を読んでも何も得ることはできません。特定の機能のロックを解除するために、友人にアプリのダウンロードを紹介するよう求められます。しかし、仮にユーザが友人を招待して機能を解除しても、アプリは常に待機状態なので、アプリから暗号資産を引き出すことはできません。
図8:ユーザは友人を招待して機能を解除するよう求められます
アプリ内で暗号資産の引き出しをリクエストすると、例えばBitcoin (BTC) – Pool Mining Cloud Walletアプリの場合は以下のリンクにアクセスします。
このリンクはどのブラウザ上でも容易にアクセス可能です。また、ページに表示される暗号資産の価格、引き出し額はURLの値を変更するだけで容易に変更することができます。
図9:暗号資産の引き出しをリクエストされた際に表示する、Bitcoin (BTC) – Pool Mining Cloud Walletアプリの偽の引き出しページ
偽装暗号資産マイニングアプリの見分け方
暗号資産のリスクは、ボラティリティの高さだけではありません。暗号資産のマイニングに関心のある方は、マイニングの詐欺アプリにも注意しなければなりません。トレンドマイクロでは、暗号資産マイニングアプリが偽物であるかどうか判断するための基準をきいくつか紹介します。
1.注意深くアプリの星1レビューを確認する
偽アプリはリリース後、星5レビューを多数獲得します。しかし、これは自作自演あるいは有償で星5レビューをつけている可能性があります。ここでは、むしろ星1レビューのレビューに注目してください。
図10:実際の利用者から寄せられた星1評価のレビュー
2.無効あるいは誤った暗号資産のウォレットアドレスを入力してみる
解析の結果トレンドマイクロは、多くの偽アプリではウォレットアドレスが空でない値の場合は全て有効な値として処理していることを発見しました。従って、もしユーザが無効なウォレットアドレスを入力し、アプリがそれを受け付けた場合、偽アプリである可能性が高くなります。
3.マイニングの途中でアプリまたは端末を再起動する
偽のマイニングアプリでは、その多くがマイニングの状況をローカル上カウンターでシミュレーションしています。つまり、もしマイニング開始後にアプリもしくは端末が再起動された場合、システムが強制的にカウンターをリセットしてゼロに再設定されることを意味しています。
4.引き出し手数料がかかるかどうか確認する
暗号資産の振替には手数料が発生します。それは一般的にマイニングの結果、獲得し得る成果の割りに高額です。従って、引き出し手数料無料というのは疑わしいと言えます。
トレンドマイクロの対策
不正アプリの脅威を回避するために、ユーザは不正アプリを検知するセキュリティソリューションを利用することもできます。
個人のお客様については、「ウイルスバスターモバイル」をご利用いただくことで不正アプリをブロックできます。企業向けには「Trend Micro™Mobile Security」を提供しており、デバイス、コンプライアンス、アプリ管理、データ保護などを提供しています。また、脆弱性を利用した攻撃や詐欺サイトからユーザを保護します。
侵入の痕跡(Indicators of Compromise, IoCs)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
「Fake Cryptocurrency Mining Apps Trick Victims Into Watching Ads, Paying for Subscription Service」
By Cifer Fang
翻訳: 谷口 厚志(Core Technology Marketing, Trend Micro™ Research)