今日、Symbian (.sis)もしくはBlackberry (.jad)コンポーネントを用い、mTANを盗むZeuS亜種を伴った、興味深いWindows+モバイルケースが発生した。

  mTANは、モバイルトランザクションの認証番号で、SMSを介して送られ、オンラインの金融取引を許可する使い捨てのワンタイムパスワードとして、銀行で使用されることがある。SMSメッセージには、(Man-in-the-Browser攻撃を介して)何ら変更されていないことを保証するトランザクションデータも含まれる可能性がある。

  Windows OSベースのオンラインバンキングは、フィッシング、ファーミング、クロスサイトスクリプティング、パスワードを盗むトロイの木馬による攻撃を絶えず受けている。プロセスに「外部」デバイスを追加することは、有効なセキュリティ対策だ。我々が考えた対策は技術的にチャレンジングであるため、あらゆる攻撃志望者を思いとどまらせるかもしれない。しかしながら、オンラインセキュリティは、いたちごっこであり、我々はしばしば、バンキングを対象としたトロイの木馬が携帯電話にねらいを定めるのは、時間の問題であると予測してきた。

  Mitmoのケースを見てみよう。デジタルセキュリティサービス会社のS21secが土曜日、同社のブログに「ZeuS Mitmo: Man-in-the-mobile」という記事を掲載した。同社が発見したこのZeuSの亜種は(我々は「Trojan-Spy:W32/Zbot.PUA」および「Trojan-Spy:W32/Zbot.PUB」として検出している)、携帯電話の詳細を要求し、犠牲者により与えられた回答に基づいたダウンロードリンクをSMSで送信する。

  Symbianコンポーネント(「Trojan:SymbOS/ZeusMitmo.A」として検出)を分析した結果、我々もS21secのリサーチが正しいことを確認している。Symbianファイル「cert.sis」は「Nokiaアップデート」と名乗っており、S60 3rd Edition携帯電話用のSymbian Signedだ。

  この新たな脅威ベクタの全体像を捉えることは、「Zbot.PUA」により用いられるC&Cがもはやオンラインではないため難しいが、分析およびコンフィギュレーションファイルに基づくなら、この攻撃はホビーストによる仕事では無い。モバイルアプリケーションとソーシャルエンジニアに関し、深い理解を持つ人々により開発されていると考えられる。彼らは開発を続けるものと我々は予測している。

  いたちごっこは続くのだ。