フィンランドのエフセキュアは、Androidを狙うトロイの木馬「Stels」に関する考察をブログで発表した。Stelsは多様な機能を備えた不正プログラムで、最近、「Cutwail」スパムボットネットを介して拡散し始めている。
エフセキュアがCutwail以前に確認した古いStelsには以下の亜種(ハッシュ値と検出日)があり、これらはすべて「spaces.ru」と呼ばれるポータルサイトを介して配信された。
・efb387ae109f6c04474a993884fe389e88be386f --- 12月5日
・8b99a836572231ffdcb111628fc1dcfb5d9ee31d --- 12月7日
・109b2adde84bb7a4ebf59d518863254e9f01c489 --- 12月10日
・9384480d82326e89ce52dd3582cf0d6869d59944 --- 12月13日
・8abc7ee0071ac32188c3262cf4ff76cc6436b48f --- 1月3日
エフセキュアは「Trojan:Android/SmsSpy.K」として様々なバージョンのStelsを検出している。同社のマルウエアサンプル管理システム「MSMS」のスクリーンショットから、それらがソーシャルエンジニアリングの手法を利用していることが分かる。
MSMSのスクリーンショット
Stelsは、ゲームやユーティリティー、あるいはフリーウエアのアプリケーションの形を取りながら、ロシア人ユーザーをターゲットにしている。ほかにも、ロシア人が開発したAndroid向けマルウエアは、同胞であるロシア人を狙うケースが多いという。発信元の国内でなければうまく機能しない高額SMS詐欺を実行してお金を儲けるためだ。
ただAndroidよりも歴史が古いWindowsマルウエアの世界では、ロシア人は標的にならないことが多い。例えば「Conficker.A」マルウエアは、システム上で使われているキーボード配列を確認し、ウクライナ語の配列ならば感染しない。トロイの木馬「Citadel」も、ロシア語またはウクライナ語のキーボードを使っているマシン上では起動しない。
テキスト共有サービス「Pastebin」で公開されているCitadelの「readme」文書の翻訳(おそらく機械翻訳)を見ると、以下のような記載がある。
----------------
[重要事項]
このソフトウエアはロシア語のシステム上では動作しない。ロシア語またはウクライナ語のキーボード配列を確認した場合は、機能を停止する。これは独立国家共同体(CIS)におけるダウンロードを防止するためだ。好きなように扱ってほしい。我々にとってはタブーだ。
----------------
このことからエフセキュアは、Androidマルウエアに関しても、古いタブーが再確立され、表示言語にロシア語を使ったAndroidデバイスには感染しないトロイの木馬が登場するかもしれないと考えている。
この先は日経クロステック Active会員の登録が必要です