- 本文はフォーティネット セキュリティ ブログの抄訳です。
執筆者: Axelle Apvrille
2011年9月16日7:12 am
(注)文中のリンク先はすべて海外のサイト(英語)です。
おそらく、Spitmo(以前はSymbianフォンだけを標的としていたZitmo/ZeuSのSpyEye版)の新種が、最近Androidで検知されたというニュースは耳に届いていることでしょう。攻撃の手口はこれまでと同じです。つまり、ユーザが、SpyEyeに感染したPCでブラウジングして、銀行のWebサイトにログインすると、SpyEyeは、ユーザが表示しているWebページにフォームと要素を直接挿入し、ユーザを騙して銀行が要求していると思わせ、偽のセキュリティ アプリケーションを電話にインストールさせます。このアプリケーションは、特に認証コードを含むSMSメッセージをインターセプトします。
この投稿では、詳細について説明するため、まだSpitmoに精通していなければ、先にTrusteerの分析をお読みになるとよいでしょう。
- マルウェアはどのようにして署名されるのでしょうか?
マルウェアは、CyanogenMod githubレポジトリで公開されているテスト キーを使用して署名されます。少なくとも他に2つのマルウェア(Android/NetisendとAndroid/Pjapps)が、まったく同一の証明書を使用しています。 - すべてのSMSをインターセプトするのでしょうか?
Zitmoと同様、Spitmoも、関心のある特定のSMSメッセージ(たとえば、銀行から届くメッセージ)だけ収集することができます。
この機能は、当該マルウェアのXML設定ファイル内の特別な要素telsに対応しています。私が読んだ分析はこのタグに言及していませんが、telsは、当該マルウェアがSMSをインターセプトする必要がある発信番号のリストを格納するためのものです。 このフィールドがコードによって解析されると、各番号が番号の配列に追加されます。 番号がなければ(デフォルトの状態)、すべてのSMSメッセージがインターセプトされます。 - インターセプトされたSMSメッセージは、SMSまたはHTTPを経由して送信されるのでしょうか?
これは、一般的な考え方ですが、より正確には、以下の方法が考えられます。
- 1: HTTPだけを経由して送信
- 2: HTTPを経由して送信し、そしてSMSを経由して送信
- それ以外の場合:SMSだけを経由して送信
- このマルウェアは実際に使用されたのでしょうか?
確かめるのは難しいですが、私は、最初のテストにすぎないと思います。実際、このマルウェアの設定ファイルは、インターセプトしたSMSを送信する電話番号(明らかに実際の電話番号ではない)を123に設定しています。このマルウェア用の更新メカニズムはまだないようなので、マルウェア作成者がこのデフォルト設定を変更することはできません。おそらく、彼らは、将来のバージョンで設定を変更するつもりなのでしょう。 - どんな国が関与した、または標的となったのでしょうか?
このマルウェアは、スペインのWebサーバからダウンロードでき、SpyEyeのドロップゾーンは、ポーランド在住の者によって登録されており、コードには、ロシア語の文字列が含まれています。...通常、サイバー犯罪者は、慎重に証拠を隠すものです。これらの国のいずれかが関与している可能性はありますが、まったく別の国が関与していることも考えられます。今のところ、これ以上の見当がつきません。
- the Crypto Girl
参考:
- SymbianおよびAndroidに関するSpitmoの説明
- Symbian、Windows Mobile、Android、およびBlackBerryに関するZitmonの説明
- Spitmoに関するその他のブログ:Trusteer、F-Secure、およびMcAffee
