今年我々が分析した中で、興味深いものの一つに「Spitmo」がある。「SpyEye in the mobile」を省略したものだ。
悪名高いBanking Trojan「SpyEye」のいくつかのバージョンが、コンピュータベースのマン・イン・ザ・ブラウザ攻撃に対するモバイルベースの防御である「mTAN」に直面すると、反撃が提供された。それが認証プロセスを回避するモバイル版トロイの木馬「Spitmo」だ。
これは巧妙なテクニックとコードを使用する、かなり興味深いクロスオーバー攻撃だ。
だから、エフセキュアのアナリスト2人が最近、自分達が開発した新しいSymbianオートメーションを動作させた時、彼らが最初にしたことはそれに「Spitmo」を入れることだった。そして結果は非常に驚くべきものだった。
我々の新しいシステムは「Spitmo」とコードを共有している54種のサンプルを発見したが、Spitmoはなかった。これら「Spitmo」の「いとこ」たちは、ロシアの携帯電話ユーザ(ロシアのSMSショートコードを使用する)を標的とする、プレミアム料金SMSトロイの木馬だ。(笑)我々はこれらのトロイの木馬を「OpFake」と名付けた。インストーラが「Opera Mini」(OperaUpdater.sisx)だと主張するためだ。
しかしこれは話の一部にすぎない。
OpFake Symbianバイナリを分析した結果、我々はIPアドレスを発見し、そのアドレスを検索すると、5000以上のサブフォルダを含む公開フォルダを介して、「OpFake」のWindows Mobileバージョンにもアクセス可能なサーバがオンラインであることが分かった。各サブフォルダは暗号化された固有のコンフィギュレーションファイルを含んでいる。これらのフォルダは、Symbianフォルダにアクセスできないため、コンフィギュレーションエラーが原因で可視の状態なのでないかと思う。
OpFake:「Spitmo」コンポーネント、Symbian、Windows Mobile(おそらくは他のOS?)、プレミアム料金SMSメッセージを使用… 誰かがサンクト・ペテルブルグにあるサーバから、かなり先進的なオペレーションを実行している。
同サーバのIPアドレスはCERT-FIに報告された。
「OpFake」バイナリの技術的な分析とサーバのフォルダ構造の詳細は、明日掲載する。
悪名高いBanking Trojan「SpyEye」のいくつかのバージョンが、コンピュータベースのマン・イン・ザ・ブラウザ攻撃に対するモバイルベースの防御である「mTAN」に直面すると、反撃が提供された。それが認証プロセスを回避するモバイル版トロイの木馬「Spitmo」だ。
これは巧妙なテクニックとコードを使用する、かなり興味深いクロスオーバー攻撃だ。
だから、エフセキュアのアナリスト2人が最近、自分達が開発した新しいSymbianオートメーションを動作させた時、彼らが最初にしたことはそれに「Spitmo」を入れることだった。そして結果は非常に驚くべきものだった。
我々の新しいシステムは「Spitmo」とコードを共有している54種のサンプルを発見したが、Spitmoはなかった。これら「Spitmo」の「いとこ」たちは、ロシアの携帯電話ユーザ(ロシアのSMSショートコードを使用する)を標的とする、プレミアム料金SMSトロイの木馬だ。(笑)我々はこれらのトロイの木馬を「OpFake」と名付けた。インストーラが「Opera Mini」(OperaUpdater.sisx)だと主張するためだ。
しかしこれは話の一部にすぎない。
OpFake Symbianバイナリを分析した結果、我々はIPアドレスを発見し、そのアドレスを検索すると、5000以上のサブフォルダを含む公開フォルダを介して、「OpFake」のWindows Mobileバージョンにもアクセス可能なサーバがオンラインであることが分かった。各サブフォルダは暗号化された固有のコンフィギュレーションファイルを含んでいる。これらのフォルダは、Symbianフォルダにアクセスできないため、コンフィギュレーションエラーが原因で可視の状態なのでないかと思う。
OpFake:「Spitmo」コンポーネント、Symbian、Windows Mobile(おそらくは他のOS?)、プレミアム料金SMSメッセージを使用… 誰かがサンクト・ペテルブルグにあるサーバから、かなり先進的なオペレーションを実行している。
同サーバのIPアドレスはCERT-FIに報告された。
「OpFake」バイナリの技術的な分析とサーバのフォルダ構造の詳細は、明日掲載する。