偽のハムスターコンバットでマルウェア配布を確認

セキュリティニュース

投稿日時: 更新日時:

仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。

仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。

仮想通貨エアドロ「ハムスターコンバット」とは

仮想通貨エアドロ「ハムスターコンバット」は

モバイル端末の画面を繰り返しタップするだけのゲームですが、ハムスターコンバットの開発者がゲームに連動した新しい仮想通貨を発表すれば、大金を稼げる可能性があるためです。

この成功のおかげで、同様の名前とアイコンを使用し、類似のゲームプレイを持つ無数の模倣品がすでに登場しています。

画像引用:ESET

プレイヤーを狙う脅威アクター

ESETは、Android ユーザーと Windows ユーザーの両方を狙う脅威を発見しました。

Android ユーザーはスパイウェアや、迷惑な広告が満載の偽アプリ ストアの標的となり、Windows ユーザーは Lumma Stealer(情報窃取型のマルウェア)の 暗号化プログラムが埋め込まれた GitHub リポジトリに遭遇する可能性があります。

Androidへの脅威

ESETはAndroid ユーザーを標的とする 2 種類の脅威を特定し、分析しました。

Ratel

まず、Android スパイウェア Ratel を含む悪意のあるアプリと Android スパイウェアを配布している Telegram チャネル (https://t[.]me/hamster_easy) を発見しました 

画像引用:ESET

このマルウェアは、通知を盗み、SMS メッセージを送信する機能を備えています。

マルウェアのオペレーターは、この機能を利用して、被害者に気付かれずに被害者の資金でサブスクリプションやサービスの料金を支払います。

悪意のあるアプリは、潜在的な被害者を引き付けるために ハムスターコンバット という名前を悪用していますが、ゲーム内の機能は含まれておらず、ユーザー インターフェイスさえまったくありません。

以下に示すように、起動時にアプリは通知アクセス許可を要求し、デフォルトの SMS アプリケーションとして設定するように求めます。これらのアクセス許可が付与されると、マルウェアはすべての SMS メッセージにアクセスし、表示されるすべての通知を傍受できるようになります。

画像引用:ESET

過去数か月間、テレグラムのクリッカーゲーム「ハムスターコンバット」が仮想通貨ゲーム愛好家の世界を席巻した。モバイルデバイスの画面を繰り返しタップするだけのゲームプレイはシンプルだが、プレイヤーが求めているのはそれ以上のものだ。ハムスターコンバットの制作者がゲームに連動した新しい仮想通貨を発表すれば、大金を稼げる可能性があるのだ。

このゲームは大成功を収めたため、すでにその名前やアイコンを模倣し、同様のゲームプレイを提供する無数の模倣者が出現しています。幸いなことに、ESETが見つけた初期の例はすべて悪意のあるものではありませんでしたが、それでもアプリ内広告で収益を得ることを目的としていました。

残念なことに、ESET の研究者は、サイバー犯罪者も Hamster Kombat の人気を利用し始めていることを発見しました。非公式のソースからゲームや関連ソフトウェアを入手しようとするリスクを明らかにし、非公式の Hamster Kombat Telegram チャンネルを通じて配布されるリモート制御の Android マルウェア、不要な広告を配信する偽のアプリ ストア、ゲームの自動化ツールを提供すると主張しながら Windows デバイス用の Lumma Stealer を配布する GitHub リポジトリなど、Hamster Kombat の評判を悪用する複数の脅威を発見しました。

ブログ投稿の要点:

  • ハムスターコンバットの成功は、ゲームへの関心を金銭的利益のために悪用しようとする悪質な行為者を引き付けました。
  • ESET の研究者は、非公式の Telegram チャネル経由で配布された、Hamster Kombat を装った Ratel という Android スパイウェアを発見しました。
  • Android ユーザーは、ゲームを提供すると主張しながら、代わりに不要な広告を配信する偽のアプリ ストアのターゲットにもなっています。
  • Windows ユーザーは、実際に Lumma Stealer 暗号化プログラムを含むファーム ボットやオート クリッカーを提供する GitHub リポジトリに遭遇する可能性があります。

ハムスターコンバットとは何ですか?

Hamster Kombat は、Telegram アプリ内のクリッカー ゲームです。プレイヤーは簡単なタスクを完了することで架空の通貨を獲得でき、少なくとも毎日ゲームにログインするインセンティブがあります。他のモバイル クリッカー ゲームと同様に、Hamster Kombat の基本的なゲームプレイは、画面を繰り返しタップしてゲーム内ポイントを獲得することです。ゲームのインターフェイスを示すスクリーンショットを図 1 に示します。

図1. ハムスターコンバットのゲーム内スクリーンショット
図1. ハムスターコンバットのゲーム内スクリーンショット

2024年3月に発売されたハムスターコンバットは、急速に人気を集めているようです。2024年6月、開発者は、ゲームのアクティブユーザー数がすでに1億5000万人に達したと主張しました。モバイルゲーマーの中でも暗号通貨愛好家層のみを対象とし、Telegramでのみ利用可能なハムスターコンバットは、史上最もプレイされたモバイルゲームのトップ20に入ることになるため、この主張は鵜呑みにすべきではありません。とはいえ、このゲームが人気なのは間違いありません。Xの公式ハムスターコンバットアカウントには10​​00万人以上のフォロワーがおり、このブログ投稿の公開時点でハムスターコンバットのアナウンスチャンネルには5000万人以上の登録者がいます。

当然のことながら、ハムスター コンバットへの関心が急速に高まっている主な理由は、ゲームをプレイしてお金を稼ぎたいというプレイヤーの願望です。ハムスター コンバットの開発ロードマップには、ゲームにリンクされた新しい暗号通貨トークンをリリースする計画が含まれています。その後、トークンは特定の基準を満たすプレイヤーに配布される予定で、この手法はエアドロップとも呼ばれます。

Hamster Kombatのチームは、Telegramベースの別のゲームであるNotcoinの成功を再現しようとしているようだ。このゲームは、2024年5月にTelegramのブロックチェーンプラットフォームThe Open Network(TON)でNOTトークンを導入し、ゲーム内スコアに基づいてプレイヤーにエアドロップした。NOTトークンのローンチは非常に成功し、2024年これまでのところ最大の暗号ゲームトークンローンチであると主張する人もいる。

Hamster Kombat トークンドロップも TON ネットワークを使用する予定です。ただし、Notcoin とは異なり、受け取るトークンの数は合計スコアではなく、1 時間あたりの利益などの他の要因によって決まります。

脅威分析

予想通り、ハムスター コンバットの成功はサイバー犯罪者も生み出し、彼らはすでにゲームのプレイヤーを狙ったマルウェアを展開し始めています。ESET リサーチは、Android ユーザーと Windows ユーザーの両方を狙う脅威を発見しました。Android ユーザーはスパイウェアや、迷惑な広告が満載の偽アプリ ストアの標的となり、Windows ユーザーは Lumma Stealer 暗号化プログラムが埋め込まれた GitHub リポジトリに遭遇する可能性があります。

ほとんど労力をかけずに収益を約束するプロジェクトと同様に、このゲーム自体もサイバーセキュリティの専門家や政府関係者の監視下にあり、プレイに伴う潜在的な金銭的リスクについて警告している。これまでのところ、ESET は元のアプリから悪意のあるアクティビティを確認していない。

Androidの脅威

ESETは、Android ユーザーを標的とする 2 種類の脅威を特定し、分析しました。Android スパイウェア Ratel を含む悪意のあるアプリと、アプリ ストアのインターフェースを偽装して Hamster Kombat がダウンロード可能であると主張する偽の Web サイトです。

Ratel スパイウェア

ESET の研究者は、Hamster Kombat を装った Ratel という Android スパイウェアを配布している Telegram チャネル (https://t[.]me/hamster_easy) を発見しました (図 2 を参照)。

図2. 悪意あるアプリを共有するHAMSTER EASY Telegramチャンネル
図 2. 悪意のあるアプリを共有する HAMSTER EASY Telegram チャンネル。アプリのダウンロードに関するメッセージは青い四角で強調表示されています。

このマルウェアは、通知を盗み、SMS メッセージを送信する機能を備えています。マルウェアのオペレーターは、この機能を利用して、被害者に気付かれずに被害者の資金でサブスクリプションやサービスの料金を支払います。

悪意のあるアプリは、潜在的な被害者を引き付けるために Hamster Kombat という名前を悪用していますが、ゲーム内の機能は含まれておらず、ユーザー インターフェイスさえまったくありません。図 3 に示すように、起動時にアプリは通知アクセス許可を要求し、デフォルトの SMS アプリケーションとして設定するように求めます。これらのアクセス許可が付与されると、マルウェアはすべての SMS メッセージにアクセスし、表示されるすべての通知を傍受できるようになります。

図3. 悪意のあるハムスターコンバットのアクセス要求
図3. 悪意のあるハムスターコンバットのアクセス要求

次に、Ratel は C&C サーバー ( http://77.91.124[.]14:260 ) との通信を開始し、応答として電話番号を受け取ります (図 4 を参照)。その後、その電話番号に、Привет! Набери мне: logID (翻訳: こんにちは! 電話してください)というテキストを含む SMS メッセージを送信します。

この電話番号は、マルウェア オペレーターのものである可能性が最も高いです。

すると、攻撃者は SMS 経由で侵入したデバイスを制御できるようになります。

オペレーターのメッセージには、特定の番号に送信するテキストを含めたり、デバイスにその番号に電話するように指示したりすることもできます。マルウェアは、テキストбаланс (翻訳: 残高) を含むメッセージを 900 番に送信することで、被害者のSberbank Russiaの現在の銀行口座残高を確認することもできます。こ

れは、オペレーターが被害者の資金にアクセスするためにさらに攻撃シナリオを追求するかどうかを決定するために行われる可能性が高いです。

Ratel は通知アクセス権限も悪用し、ハードコードされたリストに基づいて 200 を超えるアプリからの通知を非表示にします

リストには、Telegram、WhatsApp、いくつかの SMS メッセージング アプリなどのアプリが含まれています。

影響を受けるデバイスがリストにあるアプリから通知を受信して​​も、被害者はそれを見ることができません。マルウェアがこれらの通知に対して行うアクションは非表示のみであり、通知は C&C サーバーに転送されません。通知を傍受する目的は、サブスクリプション サービスから送信された確認メッセージを被害者が発見できないようにすることである可能性が高いです。

過去数か月間、テレグラムのクリッカーゲーム「ハムスターコンバット」が仮想通貨ゲーム愛好家の世界を席巻した。モバイルデバイスの画面を繰り返しタップするだけのゲームプレイはシンプルだが、プレイヤーが求めているのはそれ以上のものだ。ハムスターコンバットの制作者がゲームに連動した新しい仮想通貨を発表すれば、大金を稼げる可能性があるのだ。

このゲームは大成功を収めたため、すでにその名前やアイコンを模倣し、同様のゲームプレイを提供する無数の模倣者が出現しています。幸いなことに、ESETが見つけた初期の例はすべて悪意のあるものではありませんでしたが、それでもアプリ内広告で収益を得ることを目的としていました。

残念なことに、ESET の研究者は、サイバー犯罪者も Hamster Kombat の人気を利用し始めていることを発見しました。非公式のソースからゲームや関連ソフトウェアを入手しようとするリスクを明らかにし、非公式の Hamster Kombat Telegram チャンネルを通じて配布されるリモート制御の Android マルウェア、不要な広告を配信する偽のアプリ ストア、ゲームの自動化ツールを提供すると主張しながら Windows デバイス用の Lumma Stealer を配布する GitHub リポジトリなど、Hamster Kombat の評判を悪用する複数の脅威を発見しました。

ブログ投稿の要点:

  • ハムスターコンバットの成功は、ゲームへの関心を金銭的利益のために悪用しようとする悪質な行為者を引き付けました。
  • ESET の研究者は、非公式の Telegram チャネル経由で配布された、Hamster Kombat を装った Ratel という Android スパイウェアを発見しました。
  • Android ユーザーは、ゲームを提供すると主張しながら、代わりに不要な広告を配信する偽のアプリ ストアのターゲットにもなっています。
  • Windows ユーザーは、実際に Lumma Stealer 暗号化プログラムを含むファーム ボットやオート クリッカーを提供する GitHub リポジトリに遭遇する可能性があります。

ハムスターコンバットとは何ですか?

Hamster Kombat は、Telegram アプリ内のクリッカー ゲームです。プレイヤーは簡単なタスクを完了することで架空の通貨を獲得でき、少なくとも毎日ゲームにログインするインセンティブがあります。他のモバイル クリッカー ゲームと同様に、Hamster Kombat の基本的なゲームプレイは、画面を繰り返しタップしてゲーム内ポイントを獲得することです。ゲームのインターフェイスを示すスクリーンショットを図 1 に示します。

図1. ハムスターコンバットのゲーム内スクリーンショット
引用:ESET

2024年3月に発売されたハムスターコンバットは、急速に人気を集めているようです。2024年6月、開発者は、ゲームのアクティブユーザー数がすでに1億5000万人に達したと主張しました。モバイルゲーマーの中でも暗号通貨愛好家層のみを対象とし、Telegramでのみ利用可能なハムスターコンバットは、史上最もプレイされたモバイルゲームのトップ20に入ることになるため、この主張は鵜呑みにすべきではありません。とはいえ、このゲームが人気なのは間違いありません。Xの公式ハムスターコンバットアカウントには10​​00万人以上のフォロワーがおり、このブログ投稿の公開時点でハムスターコンバットのアナウンスチャンネルには5000万人以上の登録者がいます。

当然のことながら、ハムスター コンバットへの関心が急速に高まっている主な理由は、ゲームをプレイしてお金を稼ぎたいというプレイヤーの願望です。ハムスター コンバットの開発ロードマップには、ゲームにリンクされた新しい暗号通貨トークンをリリースする計画が含まれています。その後、トークンは特定の基準を満たすプレイヤーに配布される予定で、この手法はエアドロップとも呼ばれます。

Hamster Kombatのチームは、Telegramベースの別のゲームであるNotcoinの成功を再現しようとしているようだ。このゲームは、2024年5月にTelegramのブロックチェーンプラットフォームThe Open Network(TON)でNOTトークンを導入し、ゲーム内スコアに基づいてプレイヤーにエアドロップした。NOTトークンのローンチは非常に成功し、2024年これまでのところ最大の暗号ゲームトークンローンチであると主張する人もいる。

Hamster Kombat トークンドロップも TON ネットワークを使用する予定です。ただし、Notcoin とは異なり、受け取るトークンの数は合計スコアではなく、1 時間あたりの利益などの他の要因によって決まります。

脅威分析

予想通り、ハムスター コンバットの成功はサイバー犯罪者も生み出し、彼らはすでにゲームのプレイヤーを狙ったマルウェアを展開し始めています。ESET リサーチは、Android ユーザーと Windows ユーザーの両方を狙う脅威を発見しました。Android ユーザーはスパイウェアや、迷惑な広告が満載の偽アプリ ストアの標的となり、Windows ユーザーは Lumma Stealer 暗号化プログラムが埋め込まれた GitHub リポジトリに遭遇する可能性があります。

ほとんど労力をかけずに収益を約束するプロジェクトと同様に、このゲーム自体もサイバーセキュリティの専門家や政府関係者の監視下にあり、プレイに伴う潜在的な金銭的リスクについて警告している。これまでのところ、ESET は元のアプリから悪意のあるアクティビティを確認していない。

Windowsの脅威

ハムスターコンバットはモバイル ゲームですが、Windows 上で拡散するためにゲームの名前を悪用するマルウェアも発見されました。サイバー犯罪者は、プレーヤーがゲーム内での利益を最大化しやすくすると主張する補助ツールで Windows ユーザーを誘惑しようとします。ESETの調査では、ハムスターコンバットはのファーム ボットと、ゲーム内のクリックを自動化するツールであるオートクリッカーを提供する GitHub リポジトリ が明らかになりました。これらのリポジトリには、悪名高い Lumma Stealer マルウェアの暗号化ツールが隠されていることが判明しました。

引用:ESET

Lumma Stealer は、サービスとしてのマルウェアとして提供されるインフォスティーラーで、ダークウェブや Telegram で購入できます。2022 年に初めて確認されたこのマルウェアは、海賊版ソフトウェアやスパムを介して配布されることが多く、暗号通貨ウォレット、ユーザーの認証情報、2 要素認証のブラウザ拡張機能、その他の機密情報をターゲットにしています。

このブログ投稿の MITRE ATT&CK マトリックスでは、Lumma Stealer の機能は取り上げられていないことに注意してください。これは、このインフォスティーラーを配信する暗号化型マルウェアに焦点が当てられており、インフォスティーラー自体には焦点が当てられていないためです。

ESETが見つけた GitHub リポジトリには、リリース ファイルで直接マルウェアが利用可能であるか、外部のファイル共有サービスからダウンロードするためのリンクが含まれていました。リポジトリ内には、C++ アプリケーション、Go アプリケーション、Python アプリケーションの 3 つの異なるバージョンの Lumma Stealer 暗号化プログラムが潜んでいることがわかりました。3 つのうち、Python アプリケーションのみがグラフィカル ユーザー インターフェイス (GUI) を備えています。

Androidの脅威

ESETは、Android ユーザーを標的とする 2 種類の脅威を特定し、分析しました。Android スパイウェア Ratel を含む悪意のあるアプリと、アプリ ストアのインターフェースを偽装して Hamster Kombat がダウンロード可能であると主張する偽の Web サイトです。

Ratel スパイウェア

ESET の研究者は、Hamster Kombat を装った Ratel という Android スパイウェアを配布している Telegram チャネル (https://t[.]me/hamster_easy) を発見しました

図2. 悪意あるアプリを共有するHAMSTER EASY Telegramチャンネル

引用:ESET

このマルウェアは、通知を盗み、SMS メッセージを送信する機能を備えています。マルウェアのオペレーターは、この機能を利用して、被害者に気付かれずに被害者の資金でサブスクリプションやサービスの料金を支払います。

悪意のあるアプリは、潜在的な被害者を引き付けるためにハムスターコンバットという名前を悪用していますが、ゲーム内の機能は含まれておらず、ユーザー インターフェイスさえまったくありません。図 3 に示すように、起動時にアプリは通知アクセス許可を要求し、デフォルトの SMS アプリケーションとして設定するように求めます。これらのアクセス許可が付与されると、マルウェアはすべての SMS メッセージにアクセスし、表示されるすべての通知を傍受できるようになります。

図3. 悪意のあるハムスターコンバットのアクセス要求

引用:ESET

次に、Ratel は C&C サーバー ( http://77.91.124[.]14:260 ) との通信を開始し、応答として電話番号を受け取ります (図 4 を参照)。その後、その電話番号に、Привет! Набери мне: logID (翻訳: こんにちは! 電話してください)というテキストを含む SMS メッセージを送信します。この電話番号は、マルウェア オペレーターのものである可能性が最も高いです。

図4. ネットワーク通信

引用:ESET

すると、攻撃者は SMS 経由で侵入したデバイスを制御できるようになります。オペレーターのメッセージには、特定の番号に送信するテキストを含めたり、デバイスにその番号に電話するように指示したりすることもできます。マルウェアは、テキストбаланс (翻訳: 残高) を含むメッセージを 900 番に送信することで、被害者のSberbank Russiaの現在の銀行口座残高を確認することもできます。これは、オペレーターが被害者の資金にアクセスするためにさらに攻撃シナリオを追求するかどうかを決定するために行われる可能性が高いです。

Ratel は通知アクセス権限も悪用し、ハードコードされたリストに基づいて 200 を超えるアプリからの通知を非表示にしますリストには、Telegram、WhatsApp、いくつかの SMS メッセージング アプリなどのアプリが含まれています。影響を受けるデバイスがリストにあるアプリから通知を受信して​​も、被害者はそれを見ることができません。マルウェアがこれらの通知に対して行うアクションは非表示のみであり、通知は C&C サーバーに転送されません。通知を傍受する目的は、サブスクリプション サービスから送信された確認メッセージを被害者が発見できないようにすることである可能性が高いです。

以下 に示すように、リストに含まれていないアプリからの通知があった場合、Ratel はそれをユーザーに表示し、同時に C&C サーバーに転送します。これは、オペレーターが新しいアプリをリストに追加する必要があるかどうかを確認できるようにするためだと考えられます。

図5. C&Cサーバーに流出した通知

引用:ESET

偽のウェブサイト

Ratel スパイウェアが埋め込まれたアプリの他に、ハムスターコンバットをダウンロードできると主張する偽のアプリケーション ストアフロントも発見されました。

ただし、[インストール]または[開く]ボタンをタップすると、ユーザーは不要な広告に誘導されるだけです。

引用:ESET

結論

ハムスターコンバットは人気があるため、悪用される可能性が高く、将来的に悪意のある攻撃者が増える可能性が非常に高いです。ハムスターコンバットの模倣アプリの多くはマルウェアを含まないように見えますが、ゲームを装った Telegram 経由で配布されたリモート制御のトロイの木馬を発見しました。このマルウェアは、SMS メッセージを送信したり、電話をかけたり、デバイスが侵害されていることを示唆する通知を非表示にして動作を隠蔽したりできます。

Android のトロイの木馬とは別に、Hamster Kombat をダウンロードできると主張する偽のアプリ ストアも見つかりました。ただし、リンクは多くの場合、不要な広告につながります。最後に、Windows プラットフォームでは、ハムスターコンバット のファーム ボットとオートクリッカーを約束してゲーマーを誘い込む GitHub リポジトリを発見しましたが、実際には、被害者に Lumma Stealer を含む暗号化プログラムを提供します。