SpyEye IMEI  3月17日に我々は、「SpyEye」エディションという新たなMan in the Mobile(Mitmo) 攻撃に言及した

  以下は、我々のThreat Researchチームからのメモだ:

  このSpyEyeの亜種は、ヨーロッパの銀行に対する攻撃に使用されている。同行は振替の認証にSMSベースのmTAN(携帯電話のトランザクション認証番号)を使用している。このトロイの木馬は、銀行のWebページにフィールドを入れ、カスタマに携帯電話の番号と電話のIMEI(端末識別番号)を入力するよう促す。同行のカスタマは次に、この情報を入力することで「証明書」を携帯電話に送信することができると言われ、証明書の準備に最大で3日かかると知らされる。

  この亜種(そして同じキットで作成された他のSpyEye亜種)を我々は「Trojan-Spy:W32/Spyeye.AG」として検出している。

  いわゆる証明書である同マルウェアのSymbianコンポーネントは、「Trojan:SymbOS/Spitmo.A」として検出されている。

  「Spitmo.A」は悪意ある実行ファイル(sms.exe)と、「SmsControl.exe」という名の実行ファイルを含む他のインストーラを含んでいる。「SmsControl.exe」は、同インストーラが本当に証明書だとユーザをだますため、「Die Seriennummer des Zertifikats: 88689-1299F」というメッセージを表示する。

  「SmsControl.exe」という名称は、「ZeusMitmo」の亜種が実際のトロイの木馬を含むファイルに同じファイル名を使用したが、相当な偶然だ。トロイの木馬を証明書に見せかけるのも、「ZeusMitmo」が使用しているトリックだ。しかし、コードそのものは「ZeusMitmo」とはまったく異なっているように見える。SMSベースのmTANが、どのように攻撃者に送られるかに関する全詳細は、現在まだ調査中だが、「ZeusMitmo」のようにSMSではなく、HTTPを介して送られるようだ。

  このトロイの木馬は、デベロッパ証明書で署名されている。デベロッパ証明書は特定のIMEIと結びついており、証明書に記載されているIMEIを持つ電話にのみインストールすることができる。このような理由で、同マルウェアの作者(たち)は、銀行サイトで電話番号に加えてIMEIを請求しているのだ。新しいIMEIを受けとると、彼らは全犠牲者のため、IMEIを使用して更新された証明書をリクエストし、新たな証明書で署名された新しいインストーラを作成する。可能性のある同証明書のソースは、OPDA(http://cer.opda.cn/en)だ。異常に長い組織名(「Beijing shi ji yi jia wang dian zi shang wu you xian gong si」)を検索すると、OPDAに関連するヒットを返してくるのだ。新しい証明書の獲得に時間がかかることが、「SpyEye」で注入されたメッセージが何故、証明書の提供までに最高3日かかると述べているかを説明している。

  トロイの木馬が含んでいるのは:

  •  c:\Private\E13D4ECD\settings.dat — 「http://[*].net/input.php」「http://[*].net/delete.php」という二つのURLを含む。
     — 以下も含んでいる:c:\Data\delete.sis — sms.exeは他のアプリケーションをこっそりインストールするコードを含む。
  •  c:\Private\E13D4ECD\first.dat — 存在するならsms.exeにより削除される空のファイルで実行チェックとして使用される。
  •  c:\sys\bin\Sms.exe — インストール後に実行されるペイロード。
  •  c:\private\101f875a\import\[E13D4ECD].rsc — 電話がオンになるとsms.exeを動作させる。

組込形インストーラSmsControl.sis:

  •  c:\resource\apps\SmsControl.r01
  •  c:\private\10003a3f\import\apps\SmsControl_reg.r01
  •  c:\resource\apps\SmsControl_aif.mif
  •  c:\Private\EAF7F915\data.txt — ユーザに表示されるメッセージを含む。
  •  c:\sys\bin\SmsControl.exe — インストール後に実行され、おとりメッセージを表示する。

追記 SHA-1:

Spitmo.A: 11d21bb2a63da2a0374a1dbbe21ddb4c5d18b43e
SpyEye trojan: d7d60f4a8ae05aa633c36a10b52464ee3295c18d

そして以下が、おとりメッセージのスクリーンショットだ:

Spitmo.A decoy message