AhnLab モバイル解析パートは、海外の友人や恋人を装って親交を深めた後、仮想通貨(コイン)投資の名目で金銭を奪い取るロマンススキャムの事例を確認した。
ロマンススキャムとは、「Romance」と信用詐欺を意味する「Scam」の合成語で、感情的な交流を持ち、様々な方法で金銭を要求する信用詐欺犯罪である。過去のロマンススキャムは、好感を得たに直接、金銭を要求することが大半であったが、今は偽の仮想通貨取引所、銀行およびショッピングモールなどに範囲を広げた。
ロマンススキャムは、韓国国内に限られたものではなく、翻訳メッセンジャーを利用して全世界で行われている。この事例の加害者も自分を中国系日本人だと紹介しながら、海外の友人が欲しいと接近した。ロマンススキャムの接近過程は以下の通りである。
被害者の誘引
加害者は、被害者を直接探して接近するのでなく、自発的に寄って来るように仕向ける。主に SNS を利用して被害者が関心を持つような内容を投稿する、投稿は、仮想通貨関連の内容が全く含まれていない平凡な内容である。この投稿に被害者がいいね、またはフォローをすると、[図1]のように DM(Direct Message)を通じて感謝の気持ちを示して、会話を続けながら翻訳機能が含まれたメッセンジャーに移動しようと誘う。
[図1] フォロー時に DM で接近および翻訳メッセンジャーへの移動勧誘
投資の誘惑
加害者は、被害者と数日間に渡って会話を交わしながら、スキャムを進めて良いか判断する。ロマンススキャムの対象者と判断した場合、[図2]のように知り合いから仮想通貨に関する秘密の収益情報を得ており、これを通じて収益を得ていることを間接的に表現する。
[図2] 仮想通貨の収益を間接的に表現
偽の仮想通貨取引所の使用を誘導
被害者が仮想通貨の投資を学びたい、秘密の収益情報に興味があると言うと、自分が利用している偽の仮想通貨取引所について言及する。他の正常な仮想通貨取引所を使用しようとすると、[図3]のように国家的制限などによりこのようなパターンは確認できないと言いながら、自分が使用している取引所を利用しないと収益を得ることができないと説得する。
[図3] 偽の仮想通貨取引所に関するメリットを言及して誘導
仮想通貨取引所の詐称および検索情報の操作
加害者が紹介する「CoinB」という偽の仮想通貨取引所は、検索の結果、[図4]のようにナムウィキとウィキペディアに記載されていることを確認した。ウィキは、不特定多数のインターネットユーザーが編集することができるデータベース Web サイトで、偽の情報での操作が可能である。実際にウィキ内の取引所に関する内容のうち、設立者、情報および関連記事は「CoinB」ではなく「Coinbase」に関する内容だ。
[図4] ナムウィキとウィキペディアに記載されている「CoinB」
さらなる確認の結果、この取引所は[図5]のように Youtube および Facebook にも紹介されていることが確認できた。紹介されている仮想通貨取引所のホームページ(coinb.top)は、現在サービスしておらず、加害者が紹介する「CoinB」のアドレスは違うドメインである。
[図5] Youtube と Facebook に紹介された「CoinB」
加害者は、[図6]のように偽の仮想通貨取引所を利用できるアプリのダウンロードアドレスを案内する。このアドレスに入ると、公式マーケットのダウンロードページと同じように制作されたページを確認することができた。
[図6] 偽の取引所を利用できるアプリのダウンロードアドレス配布および実際の画面
アプリのダウンロードページは、[図7]のように被害者のデバイスの OS を区分してインストーラをダウンロードする。アプリをインストールおよび実行すると、加害者が言及した偽の仮想通貨取引所を利用することができる。
[図7] アプリのインストールおよび実行画面
仮想アカウントを通じたアプリ利用の学習
アプリをインストールすると、加害者は偽の仮想通貨取引所が提供する仮想アカウントでアプリの使用方法を学ぼうと発言する。このように発言する理由は2つである。
1つ目の理由は、偽の仮想通貨取引所が外見のみうまく構成されており、スキャムに必要な機能だけが実装されているためである。被害者がアプリを色々と確認すると、一部の機能が動作しないことを確認し、スキャムであると認知できるため、必要な機能だけを使うように教育する。
2つ目の理由は、仮想アカウントを利用する過程で収益が発生することを見せるだめである。被害者が収益を間接体験することで、実際に投資欲が生じるように仕向け、加害者が持つ秘密の収益情報が本物であるかのように信じさせる。
加害者の案内に従ってアプリ内のカスタマーセンター(Contact Us)で仮想口座を申請すると、[図8]のように ProtonMail で登録された仮想アカウントを案内される。案内されたアカウントでログインすると、アカウント内に 50,000USD(6,885万ウォン)が存在し、この金額で仮想投資が可能になる。
[図8] アプリ内の仮想アカウントリクエストおよびログイン画面
ログイン時、加害者の案内に従って[図9]のようにビットコイン(BTC)を購入することになる。この購買行為は、本物の仮想通貨グラフの影響を受けず、一定時間が経過すると、アカウント内の保有金額だけが増えていく。購入時間内の実際のビットコイングラフを確認すると、小幅の変動があるだけで維持中であった。
取引後、加害者は仮想アカウントの収益を言及しながら、この秘密の収益情報は被害者にだけ教えるものであると言いながら、他の人に投資事実を知らせないように説得する。
[図9] 加害者の案内によるビットコイン購入
個人情報およびコイン流出
仮想アカウントの学習が終わると、会員登録を進め、[図10]のようにアプリ内に金融および個人情報を入力させる。入力された情報は別途の検証を行わず、情報入力後にコイン購入のための入金方法などを案内する。この過程で、被害者は入金したお金を取り戻すことができなくなるだけでなく、入力した個人情報で2次被害に遭う恐れがある。
[図10] アプリ内の金融および個人情報入力と仮想通貨のウォレットアドレス
類似した偽の仮想通貨取引所
モバイル解析パートは、このロマンススキャムアプリと Web アドレスを根拠に類似したケースを調査した。 確認の結果、[図11]のように偽の仮想通貨取引所アプリとサイトを多数確認することができた。すでに一部の偽の取引所サイトはスキャムと発覚し、警告通知が表示されており、加害者は発覚すると、その取引所のサーバーを閉じて他の仮想通貨取引所の名前で再リリースしていた。
[図11] 類似した偽の仮想通貨取引所サイト
また、偽の仮想通貨取引所アプリのダウンロードアドレスはすべて異なるが、[図12]のように同じスクリプトを使用しており、製作されたアプリがすべて同じコードで構成されていることから、1つのグループが管理していると考えられる。
[図12] アプリのダウンロードスクリプトとアプリ内部コードの比較
結論
当社では、このアプリを PUP/Android.CoinScam として検知している。ロマンススキャムは、ソーシャル・エンジニアリングの手法で被害者に接近するため、アプリとスキャムサイトだけでは不正の有無を事前に認知しにくい。そのため、ユーザーは不明な仮想通貨取引所の使用を控え、アンチウィルスアプリを最新バージョンに維持し、被害が発生しないように注意する必要がある。
[ファイル検知]
PUP/Android.CoinScam.1222978
PUP/Android.CoinScam.1222977
PUP/Android.CoinScam.1222976
PUP/Android.CoinScam.1222975
PUP/Android.CoinScam.1222973
[IoC]
7353b685c49432783906cd74ce4cefdc
f1e88bc7c240507b2bbbea646205c8de
8977ff762385e1c5dd1515d098147ad2
41d5e86dbfd90c994c3b2de8e014c89c
6443f4586afdd3ca6f8372ab569c2911
f42db78ae4fa84e85905c831087ca210
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post コイン投資を勧めるロマンススキャム appeared first on ASECブログ.