Specifically, according to Kaspersky, the number of downloads published on the Google Play Store has reached more than 242,000, which is the first instance of this on the App Store. The infected Android app utilizes a malicious Java component called “Spark” disguised as an analytics module, which uses Google’s machine learning kit to extract text from images in the device. Malicious SDKs use keywords that vary from region to region to region, looking for images that contain secrets. As a result, it is possible to find the recovery phrase of a specific user’s cryptocurrency wallet and transfer it to the attacker’s device.

The iOS platform also uses different names such as “Gzip”, “googleappsdk”, and “stat”, and employs a Rust-based network module for offensive communication. A study by Kaspersky identified 18 Android apps and 10 iOS apps, some of which are still in the app store.

In particular, an Android app called “ChatAi” has been installed more than 50,000 times and has now been removed from Google Play. If you have already installed such an app on your device, it is recommended that you uninstall it immediately and scan it with mobile antivirus software. In addition, you should also consider resetting it to factory settings.

In general, saving a screenshot of your cryptocurrency wallet’s recovery phrase is an act that should be avoided in itself, and it is preferable to store it on physical offline media, an encrypted removable storage device, or a self-hosted offline password manager vault. This makes it possible to reduce security risks.

BleepingComputer reached out to Apple and Google for comment on the existence of the app, but has not received a response at this time. We should keep an eye out for future updates. In order to protect yourself from these threats, users need to take good measures themselves.

ドライバーはカーネルレベルで動作できるため、オペレーティングシステムの重要な部分にアクセスでき、マルウェアはプロセスを終了させることが可能です。サイバーセキュリティ企業Trellixの研究者が最近発見した攻撃では、古いアンチルートキットドライバーの脆弱性を利用した「Bring Your Own Vulnerable Driver（BYOVD）」手法が利用されています。具体的には、kill-floor.exeというファイル名のマルウェアがntfs.binという脆弱なドライバーをWindowsのデフォルトユーザーフォルダーにドロップしていました。

その後、マルウェアはService Control（sc.exe）を使用して‘aswArPot.sys’というサービスを作成し、ドライバーを登録します。続いて、142件のセキュリティツールに関連するプロセスのリストを使用して、システム上のアクティブなプロセスのスナップショットをチェックします。Trellixの研究者トリシャーン・カルラ氏によると、一致が見つかると、「マルウェアはインストールされたAvastドライバーを参照するためのハンドルを作成します」とのことです。

次に、‘DeviceIoControl’ APIを利用して、必要なIOCTLコマンドを発行し、プロセスを終了させます。上記のスクリーンショットに示されているように、このマルウェアはMcAfee、Symantec（Broadcom）、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET、BlackBerryなど、さまざまなセキュリティソリューションからのプロセスを標的にしています。セキュリティが無効化された状態で、マルウェアはユーザーに通知することなく悪質な活動を行うことができます。

このドライバーとその手法は、2022年初めにTrend Microの研究者によって、AvosLockerランサムウェア攻撃の調査中に観察されました。2021年12月に、Stroz Friedbergのインシデントレスポンスサービスチームは、キューバランサムウェアがAvastのアンチルートキットカーネルドライバーの機能を悪用して、被害者のシステム上のセキュリティソリューションを無効化するスクリプトを利用していることを発見しました。また、同時期にSentinelLabsの研究者は、2016年から存在していた高危険度の脆弱性（CVE-2022-26522およびCVE-2022-26523）を発見し、これらを悪用することでセキュリティ製品の無効化を可能にしていました。これら2つの問題は2021年12月にAvastに報告され、同社はセキュリティアップデートによって静かに対処しました。

脆弱なドライバーに依存する攻撃から保護するためには、Trellixが推奨するように、シグネチャやハッシュに基づいてコンポーネントを特定してブロックできるルールを使用することが可能です。マイクロソフトもまた、主要なWindowsリリースごとに更新される脆弱なドライバーブロックリストポリシーファイルなどの解決策を提供しています。Windows 11 2022以降、すべてのデバイスでこのリストがデフォルトでアクティブになっています。

収集されたデータはアーカイブされ、攻撃者に送信されます。この情報はさらなる攻撃に利用されたり、サイバー犯罪マーケットで販売されたりします。過去1ヶ月間で、脅威役者たちはEditProというAI動画および画像編集アプリの偽サイトを作成し、検索結果やX（旧Twitter）上の広告で拡散しました。その中には、バイデン大統領とトランプ元大統領がアイスクリームを楽しむ深層偽装動画が含まれています。

これらの画像をクリックすると、EditProAIアプリケーションの偽サイトに誘導されます。特に、editproai[.]proというサイトはWindows向けのマルウェアを、editproai[.]orgはmacOS用のマルウェアを配布するために作られました。これらのサイトは見た目が非常にプロフェッショナルで、クッキーバナーも表示されているため、信頼性があるように見えます。しかし、「Get Now」リンクをクリックすると、EditProAIアプリとして偽装された実行ファイルがダウンロードされます。Windows用ファイルは「Edit-ProAI-Setup-newest_release.exe」と呼ばれ、macOS用は「EditProAi_v.4.36.dmg」と名付けられています。

このWindowsマルウェアは、ソフトウェア開発者から盗まれたと思われるコード署名証明書によって署名されています。g0njxaというサイバーセキュリティ研究者によれば、マルウェアは「proai[.]club/panelgood/」というサイトを通じて盗まれたデータを送信しており、攻撃者は後でこの情報を回収できます。AnyRunのレポートでは、Windowsバリアントの実行が検出され、Lumma Stealerとして特定されています。

もしこのプログラムを過去にダウンロードした場合、保存していたすべてのパスワードや暗号通貨ウォレット、認証情報が侵害された可能性があるため、すぐにそれらの情報をすべてリセットすることをお勧めします。それぞれのサイトでユニークなパスワードを使用し、特に暗号通貨取引所やオンラインバンキング、メールサービスといった重要なサイトには多要素認証を有効にしてください。情報盗難マルウェアはここ数年で大きな成長を遂げており、脅威役者たちは大規模なオペレーションを展開しています。