マカフィー、Androidを狙ったバンキング系トロイの木馬「Spitmo」と「Zitmo」をブログで解説
マカフィーは、Androidをターゲットに、銀行パスワードなど財務データを盗み出すトロイの木馬「Spitmo」「Zitmo」について、自社ブログで解説している。
「Spitmo」と「Zitmo」は、トロイの木馬「Banker」ファミリーのなかでも最も活動的で蔓延している「SpyEye」と「Zeus」のモバイル版。どちらも感染したデバイスからユーザー名とパスワードをキャプチャして、受信したすべてのSMSをリモートサーバーに転送することで、電子商取引の二つめの認証要素である「mTAN」を無効化する。
「Spitmo」は「Zitmo」とは異なり、セキュリティツールを装っておらず、バックグラウンドでサービスとして動作していない。所定のをダイヤルするか、SMS受信によってアクティブになり、ユーザーインターフェースがないので、アプリケーション管理ウィンドウに「実行中」タブを表示しない。
また、IMEIが画面に表示されているにもかかわらず、感染したユーザーに偽の「認証コード」を取得するために特定の番号へ電話をかけるよう指示することがある。さらに、傍受したメッセージをSMSやHTTP経由で転送することがあり、盗まれたSMSは暗号化せずに攻撃者のURLに送信されてしまう。
分析によれば、「Spitmo」は分析プロセスを遅らせ、柔軟性をもたせ、さまざまな方法でユーザーに影響を及ぼす機能を追加している。このような機能追加は、バンキング系マルウェアが常に進化していることの証拠であり、マカフィーでは今後もバンキング系モバイルマルウェアが拡大していくと予想している。
「Spitmo」と「Zitmo」は、トロイの木馬「Banker」ファミリーのなかでも最も活動的で蔓延している「SpyEye」と「Zeus」のモバイル版。どちらも感染したデバイスからユーザー名とパスワードをキャプチャして、受信したすべてのSMSをリモートサーバーに転送することで、電子商取引の二つめの認証要素である「mTAN」を無効化する。
「Spitmo」は「Zitmo」とは異なり、セキュリティツールを装っておらず、バックグラウンドでサービスとして動作していない。所定のをダイヤルするか、SMS受信によってアクティブになり、ユーザーインターフェースがないので、アプリケーション管理ウィンドウに「実行中」タブを表示しない。
また、IMEIが画面に表示されているにもかかわらず、感染したユーザーに偽の「認証コード」を取得するために特定の番号へ電話をかけるよう指示することがある。さらに、傍受したメッセージをSMSやHTTP経由で転送することがあり、盗まれたSMSは暗号化せずに攻撃者のURLに送信されてしまう。
分析によれば、「Spitmo」は分析プロセスを遅らせ、柔軟性をもたせ、さまざまな方法でユーザーに影響を及ぼす機能を追加している。このような機能追加は、バンキング系マルウェアが常に進化していることの証拠であり、マカフィーでは今後もバンキング系モバイルマルウェアが拡大していくと予想している。