2010年3月9日火曜日

VodafoneがMariposaボットネットを拡散

posted by Pedro Bustamante

ここに企業がユーザーにマルウェアを配布してしまったもうひとつの例を紹介します。
残念なことに、多分、これが最後というわけにはいかないでしょう。

今日、私達の同僚の一人が、GoogleのAndroid OSが搭載されたVodafoneの HTC Magic(欧州で発売されているスマートフォン)の新品を受け取りました。「素晴らしい」と彼女は言いました。Vodafoneは、この電話をヨーロッパのいくつかの国のユーザーベースに案内しており、特別な条件下なら無料かわずか1 Euroで入手可能のようです。


興味深かったのは、彼女がこの電話をUSB経由でPCに接続した時、Panda Cloud Antivirusが動作し、悪意あるコードとして autorun.inf と autorun.exeを検出したことです。
早い発見によって、その電話が感染しており接続されるあらゆるPCに感染を拡げていることがわかりました。

即座に行われたマルウェア分析の結果、これがMariposaボットのクライアントであることが明らかになりました。ただし、以下のボットネットコントロールメカニズムが示している通り、これは先週発表したスペインのハッカーグループ“DDPチーム”の数人が操作していたものとは別のもので、“tnls” と呼ばれる人間が操作しているものでした。 
00129953 |. 81F2 736C6E74 |XOR EDX,746E6C73 ; ”tnls”

このクライアントがUDPを使って接続し、指示を受けるコマンド&コントロールサーバーは以下の通りです:
mx5.nadnadzz2.info
mx5.channeltrb123trb.com
mx5.ka3ek2.com

一旦感染させられると、さらに指示を受けるためにマルウェアが“家に電話をかけている”のを見ることになります。おそらくユーザーの全ての個人情報を盗んだり、マルウェアの作者にそれらを送信するためです。

さらに興味深いことには、MariposaボットはVodafoneのHTC Magic phoneで私達が発見した唯一のマルウェアという訳ではありません。 ConfikerやLineageのパスワードを盗むマルウェアも見つかりました。私はその時にVodafoneとHTCでいったい誰がQAを行っていのたか不安になります。


0 件のコメント:

コメントを投稿