先週の木曜日の記事にて、Dell SecureWorksによる「Stels」の分析 (読んで!)をリンクした。StelsはスパムボットネットCutwail経由で近頃拡散し始めた、Android上の多目的なトロイの木馬だ。

 マスマーケットを対象としたクライムウェアギャングが配布するこのAndroidマルウェアは、情勢を一変させる可能性がある。

 では、StelsはCutwail以前はどうやって拡散していたのか?

 以下は、やや古いStelsのバリアントと、我々がそれを初めて目にした日にちだ。全バリアントが(少なくとも)spaces.ruというWebポータル経由で配布されていた。

  •  efb387ae109f6c04474a993884fe389e88be386f — 12月5日
  •  8b99a836572231ffdcb111628fc1dcfb5d9ee31d — 12月7日
  •  109b2adde84bb7a4ebf59d518863254e9f01c489 — 12月10日
  •  9384480d82326e89ce52dd3582cf0d6869d59944 — 12月13日
  •  8abc7ee0071ac32188c3262cf4ff76cc6436b48f — 1月3日

 我々はTrojan:Android/SmsSpy.Kとして多数のStelsのバージョンを検知している。そして以下は当社のMSMS(Malware Sample Management System)のスクリーンショットだが、ソーシャルエンジニアリングを伴っていることが良く分かるだろう。

TrojanAndroidSmsSpyK_MSMS

 ゲーム、ユーティリティ、その他の「フリーウェア」アプリケーションがロシア人を標的にしている。

 ロシア人を標的に…。これはWindowsマルウェアの世界では実に稀なケースだ。

 たとえばConficker.Aは、現在システム上でどのキーボード配列が使われているか、Windows APIのGetKeyboardLayoutで確認し、ウクライナ語のレイアウトならシステムに感染しない。

 もっと最近の例としてCitadel(銀行を狙ったトロイの木馬)が挙げられる。GetKeyboardLayoutList APIを確認し、利用可能な入力言語の中でロシア語もしくはウクライナ語のキーボードがあるマシン上では起動しない。

 Citadelのマシン上の(?)「readme」の翻訳を挙げる(http://pastebin.com/gRqQ2693)。

—————

#
重要事項:
#
このソフトウェアはロシア語のシステムでは動作しない。ロシア語またはウクライナ語のキーボード配列であることを検出すると、ソフトウェアは機能を停止する。このような前置きをしたのは、CIS諸国のダウンロードに対抗するためだ。我々にとってはタブーであるが、本ソフトウェアを好きなように扱ってほしい。

—————

 以下は、古いバージョンのCitadelがウクライナ語キーボードに遭遇したときに、何が起こるかだ。

Citadel

 現行バージョンのCitadelはクラッシュエラー無しで静かに終了する。

 今までのところ、ロシア人が書いたAndroidマルウェアは、SMS詐欺に関連する課金スキームであるために同志のロシア人を標的にする必要があった(プレミアムナンバーは発信元の国でしかうまくいかない)。

 今やAndroidマルウェアはより「伝統的な」配布チャネルへと広がった。そうであるからには、古いタブーが再度定着し、表示言語にロシア語を用いているAndroidデバイスへの影響を避けるAndroidのトロイの木馬を発見するのも、時間の問題に過ぎないのだろうか?