Threat Researchチームのアナリストが先頃、「Spitmo」と共通のコードを持つプレミアム料金SMS型トロイの木馬「OpFake」を発見した。そして今週、我々のオートメーションが新たなサンプルを警告した。アナリスト達は分析を完了したが、我々はまた新たな「Spitmoの親類」を発見したようだ。ただしこのトロイの木馬は、Operaアップデートのふりはしない。

  また:「SymbOS/ConBot」はボットの特徴を有している。

  アナリストの覚書は以下の通り:

  「Trojan:SymbOS/ConBot.A」は「Spitmo」のソースコードに基づいている。「ConBot.A」で唯一既知のサンプルは、「[removed].ru/mms.sis」からダウンロードされた。

  「ConBot.A」は「SystemService」というパッケージを含んでおり、こちらは「AppBoot」という組込型パッケージを含んでいる。

  「SystemService」パッケージのコンテンツは:

  •  c:\Private\EE1DCDAA\first
  •  c:\Private\EE1DCDAA\start.xml
  •  c:\sys\bin\SystemService.exe
  •  c:\System\AppBoot\SystemService.boot

  組込型パッケージ「AppBoot」

  •  c:\sys\bin\AppBoot.exe
  •  c:\private\101f875a\import\[2005A60D].rsc

  「OpFake」とは異なり、「ConBot」はアプリケーションメニューにアイコンを追加しない。インストールが完了すると、どのような形であれ、ユーザに自身の存在を通知することは無い。(おそらく、「Spitmo」のように「セキュリティ証明書アップデート」としてプロモートされる。)

  「OpFake.A」のように、「ConBot.A」は「Acme」の「JoeBloggs」による証明書で自己署名されているが、証明書自身は「OpFake」で使用されているものとは異なる。

  「AppBoot.exe」は「[2005A60D].rsc」のため、電話がスタートするたびに自動的に開始される。「AppBoot.exe」は次に、「SystemService.boot」ファイルを解読する。

  解読アルゴリズムは、「Trojan:SymbOS/OpFake.A」がそのコンフィギュレーションファイル(sms.xml)を解読するために使用するものと同一だ。解読された「SystemService.boot」のコンテンツは、「c:\sys\bin\SystemService.exe」へのパスであることが分かっている。「AppBoot.exe」は、解読された.bootファイルが示すどんなファイルでも実行する。

  「SystemService.exe」は「ConBot」の実際にペイロードを含む。

  初めて「SystemService.exe」が実行されると、電話に保存されている連絡先から、携帯電話番号が収集され、一時的に「c:\Private\EE1DCDAA\contacts.xml」に保存される。同トロイの木馬は「[removed].ru/connect.php」にコンタクトし、「contacts.xml」と電話のIMEIをリモートサーバに送信する。IMEI、時刻、日付およびオペレーティングシステムのバージョン(Symbian9にハードコードされた)とともに、定期的な接続が同じサーバに対して行われる。リプライとして、同トロイの木馬はSMSメッセージをどこにおくるべきかに関するインストラクションを含む、XMLファイルを受けとらなければならない。トロイの木馬にハードコードされた別のURLもあるが([removed].ru/connect.php)、start.xmlからのアドレスによりオーバーライドされる。

  「ConBot.A」も、アウトボックスから送信済みフォルダに移動されたメッセージのほか、新たに受信SMSメッセージもモニタする。特定の条件が満たされれば、トロイの木馬は傍受したSMSメッセージを削除する。新たに作成されたメッセージを通知するメッセージ送信イベントを取り扱う機能も、「Spitmo.A」および「OpFake.A」の機能とほぼ同一だ。これはこれら3種のコードにおける、唯一の同一部分ではない。

C&Cのアップデート:

  SMSモニタリングの興味深い特徴は、このトロイの木馬がテキストメッセージを介して、C&CサーバURLをアップデートすることができる点だ。「ConBot.A」が「zlhd[removed]」で始まる受信SMSメッセージに気づくと、残りのメッセージを抜き出し、古いURLに替わる「settings.dat」に保存する。作者は明らかに、単にC&Cサーバを停止させることで、モバイルボットネットが機能しなくなることは望んでいないようだ。

ConBot code

フルインストーラのSHA1:83fc407f77ee56ab7269d8bea4a290714c65bbe1