- 本文はフォーティネット セキュリティ ブログの抄訳です。
執筆者:Axelle Apvrille
2011年2月23日7:43
2011年2月23日午前7時43分。Zitmoは、その当初からフォーティネットが特にフォーカスしてきたモバイルマルウェアです(フォーティネットの最初のブログ投稿のほか、ShmooCon 2011における私のプレゼンテーションを参照してください)。なぜなら、それは犯罪組織が携帯電話の感染に関心があることを示す最初の明らかなサインの1つだからです。ご存知かもしれませんが(F-SecureおよびKasperskyのブログ投稿を参照)、残念ながらこのマルウェアは新たなバージョンで戻ってきました。
では技術的に見て、どこが新しいのでしょうか?
- 当該マルウェアは現在、Windows Mobile電話も対象にしています。 Symbianだけではありません(BlackBerryバージョンに関してもうわさがありましたが、確認されていません)。
- 傍受したSMSの送信先であるデフォルトの電話番号が変わりました。ただし、これは今なお携帯電話の番号であり、英国および恐らくは同一の携帯電話会社からのものです。
- 当該マルウェアは、受信SMSおよび発信SMSの両方を傍受します。 前バージョンが傍受するのは受信SMSだけであり、発信SMSには関心が示されませんでした。 実際にはこの機能が犯罪者集団に使用されていない可能性もありますが、"SMS Monitor"から実行可能なファイルに戻ったのです。トロイの木馬型スパイウェアであるZitmoは、これに触発されています。
- 当該マルウェアは、SET ADMINコマンドが処理されるごとに、「app installed ok (アプリケーションのインストール完了)」というテキストをSMSに付けて(デフォルトでは英国の番号に)送信します。 前バージョンでは、トロイの木馬が最初にインストールされたときのみこのSMSは送信されました。
- 当該マルウェアの特徴は、"UNINSTALL"という新しいコマンドです。このコマンドは実際には、新しいパッケージをインストールします(下図参照)。 Zitmoは、携帯電話を検索して「c:\system\apps\u.dat」という名前のファイルを探します(ファイルはWebからダウンロードされない点に注意してください。Zitmoはインターネットに接続しません)。 このファイルの拡張子は、意図的に紛らわしくしてありますが、実際にはSymbianパッケージです。 Zitmoはこの名前を「u.sisx」と変更し、携帯電話に警告なしにインストールします(プロンプト、警告は一切なし)。
これまでのところ、Zitmoの亜種が少量ではありますが、他の欧州国内のワイルドリストで発見されています。 特にポーランドでは、ING Poland (ポーランドING銀行)およびmBank (インターネット銀行)を標的とするために、ZeuSのPCコンポーネントが使用されていることが報告されています。 Zitmo自体(別名、ZeuSツールキットのモバイルコンポーネント)はあらゆるターゲットに有効である点に留意してください。 ワンタイムパスワードが転送されるだけなため、銀行側では知るよしもないのです。こうして、ターゲットはもっぱらこのPCコンポーネントによって決まります。サイバー犯罪者によってコマンド・アンド・コントロール・センターから送り込まれた、暗号化された構成ファイルの中で発見されます。
最後に、フォーティネットはこれらのトロイの木馬をSymbOS/Zitmo.B!trおよびWinCE/Zitmo.B!trとして検知しています。
