Specifically, according to Kaspersky, the number of downloads published on the Google Play Store has reached more than 242,000, which is the first instance of this on the App Store. The infected Android app utilizes a malicious Java component called “Spark” disguised as an analytics module, which uses Google’s machine learning kit to extract text from images in the device. Malicious SDKs use keywords that vary from region to region to region, looking for images that contain secrets. As a result, it is possible to find the recovery phrase of a specific user’s cryptocurrency wallet and transfer it to the attacker’s device.

The iOS platform also uses different names such as “Gzip”, “googleappsdk”, and “stat”, and employs a Rust-based network module for offensive communication. A study by Kaspersky identified 18 Android apps and 10 iOS apps, some of which are still in the app store.

In particular, an Android app called “ChatAi” has been installed more than 50,000 times and has now been removed from Google Play. If you have already installed such an app on your device, it is recommended that you uninstall it immediately and scan it with mobile antivirus software. In addition, you should also consider resetting it to factory settings.

In general, saving a screenshot of your cryptocurrency wallet’s recovery phrase is an act that should be avoided in itself, and it is preferable to store it on physical offline media, an encrypted removable storage device, or a self-hosted offline password manager vault. This makes it possible to reduce security risks.

BleepingComputer reached out to Apple and Google for comment on the existence of the app, but has not received a response at this time. We should keep an eye out for future updates. In order to protect yourself from these threats, users need to take good measures themselves.

収集されたデータはアーカイブされ、攻撃者に送信されます。この情報はさらなる攻撃に利用されたり、サイバー犯罪マーケットで販売されたりします。過去1ヶ月間で、脅威役者たちはEditProというAI動画および画像編集アプリの偽サイトを作成し、検索結果やX（旧Twitter）上の広告で拡散しました。その中には、バイデン大統領とトランプ元大統領がアイスクリームを楽しむ深層偽装動画が含まれています。

これらの画像をクリックすると、EditProAIアプリケーションの偽サイトに誘導されます。特に、editproai[.]proというサイトはWindows向けのマルウェアを、editproai[.]orgはmacOS用のマルウェアを配布するために作られました。これらのサイトは見た目が非常にプロフェッショナルで、クッキーバナーも表示されているため、信頼性があるように見えます。しかし、「Get Now」リンクをクリックすると、EditProAIアプリとして偽装された実行ファイルがダウンロードされます。Windows用ファイルは「Edit-ProAI-Setup-newest_release.exe」と呼ばれ、macOS用は「EditProAi_v.4.36.dmg」と名付けられています。

このWindowsマルウェアは、ソフトウェア開発者から盗まれたと思われるコード署名証明書によって署名されています。g0njxaというサイバーセキュリティ研究者によれば、マルウェアは「proai[.]club/panelgood/」というサイトを通じて盗まれたデータを送信しており、攻撃者は後でこの情報を回収できます。AnyRunのレポートでは、Windowsバリアントの実行が検出され、Lumma Stealerとして特定されています。

もしこのプログラムを過去にダウンロードした場合、保存していたすべてのパスワードや暗号通貨ウォレット、認証情報が侵害された可能性があるため、すぐにそれらの情報をすべてリセットすることをお勧めします。それぞれのサイトでユニークなパスワードを使用し、特に暗号通貨取引所やオンラインバンキング、メールサービスといった重要なサイトには多要素認証を有効にしてください。情報盗難マルウェアはここ数年で大きな成長を遂げており、脅威役者たちは大規模なオペレーションを展開しています。

サイトは現在復旧していますが、ブロックチェーンのデータによれば、火曜日の午後の時点でWLFIトークンを保有している唯一のウォレットアドレスは5,317件に過ぎず、World Liberty Financialは200億個の販売対象の中から、5億3200万トークンを販売したとしています。

WLFIの顧問であるサンディ・ペンは、サイトのダウンは過剰なトラフィックによるもので、「チームはこのレベルの関心を予想していなかった」と語りました。トークン販売開始から1時間で7000万回以上のユニークビジターを記録したとのことです。

CoinDeskによると、WLFIトークンは現時点では譲渡不可能で、World Liberty Financialプラットフォームのガバナンスに利用される予定です。トークン保有者はプロトコルのアップグレード、技術変更、プロモーションパートナーシップ、セキュリティリスクの監視に関与できるとのこと。また、このプラットフォームはユーザーが暗号通貨を借りたり貸したりすることも可能にします。

トランプ氏及びその関係者が、World Liberty Financialを銀行口座を持たない人々や金融から排除された人々を助けるツールとしてプロモーションしていますが、WLFIを購入できるのは証券取引委員会（SEC）の認定投資家要件を満たす人々だけです。認定投資家とは、年収が最低20万ドル（配偶者と合算で30万ドル以上）または純資産が100万ドル以上（自宅を除く）の基準を満たす個人を指します。トランプ氏はトークンに関する「ゴールドペーパー」において、自身を「最高暗号関連責任者」としており、息子たちも「Web3大使」として名を連ねています。

この「ゴールドペーパー」では、World Liberty Financialのプロトコルが第三者のDeFiアプリケーションやデジタルウォレットを利用可能にする計画があると記されており、特に「トークンはアメリカの人々には提供されない」と明記されています。