Tripwireは11月10日(米国時間)、「CherryBlos, the malware that steals cryptocurrency via your photos - what you need to know|Tripwire」において、暗号資産を狙うマルウェア「CherryBlos」について知っておくべきこととしてその特徴を伝えた。

CherryBlosは2023年4月頃に発見されたマルウェアで、暗号資産ウォレットの認証情報の窃取、資産の引き出し時の送金先アドレスの差し替え、Androidに保存された画像をOCRで解析し得られたテキストデータを窃取する機能があるいう。

  • CherryBlos、the malware that steals cryptocurrency via your photos - what you need to know|Tripwire

    CherryBlos, the malware that steals cryptocurrency via your photos - what you need to know|Tripwire

Tripwireによると、CherryBlosはAndroidに保存された画像をOCRで解析し、得られたテキストデータを窃取することで暗号資産ウォレットのアカウントを乗っ取ることができるという。一般的にユーザーはアカウント情報を写真に記録することはないが、アカウントの回復フレーズのスクリーンショットを取ることがあり、これを窃取することでアカウントを乗っ取るとしている。

これまでのところ、CherryBlosは「SynthNet」「GPTalk」「Happy Miner」「Robot 999」などのアプリに偽装して配布されたことが確認されているという。また、今後も別のアプリとして配布される可能性があるとして注意を促している。

Tripwireはこの脅威からAndroidデバイスを保護するために、次のような対策を提案している。

  • 企業が管理するAndroidデバイスに関しては、モバイルデバイス管理ソリューションを導入してアプリを管理する
  • 個人で利用するAndroidデバイスに関しては、ウイルス対策ソフトウェアを導入する。また、公式ストアからアプリをインストールするようにし、信頼できないソースからインストールしない。ただし、公式ストアもまれに悪意のあるアプリの配布に悪用されることがあるため、肯定的なレビューの少ないアプリ、利用者の少ないアプリなど不審なアプリはインストールしない

最後に、Tripwireはアカウントの回復フレーズのスクリーンショットを放置しないように警告している。回復フレーズは紙などに書き写して金庫に保管し、デジタル情報としてデバイスに保管しないよう推奨している。