『仮説として「あるターゲットを狙いたい」という要件に合わせ、複数の開発者がそれぞれ同じような機能を開発した結果、別のマルウェア、別のコードの間でいくつかの機能がオーバーラップしていると考えられます。このため「どこからどこまでが『Roaming Mantis』といえるかを断言するのが難しくなっている」と石丸氏は述べました。ニーチェの「深淵をのぞく時、深淵もまたお前をのぞいているのだ」という言葉がありますが、かつては無造作にマルウェアを作成していたRoaming Mantisの作者らが、自分たちがセキュリティリサーチャーに追跡されていることを意識し、見つからないように工夫している様子も見られるそうです。具体的には、マルウェアの解析を困難にする難読化技術を高度化させる他、攻撃者にとっての「ホワイトリスト」のような機能を用いて、検体のダウンロード先を限定させる動きが見つかりました。セキュリティ研究者の手にマルウェアが渡らないようにしつつ、狙ったターゲットのみに確実にダウンロードさせる仕組みです。これは、韓国をターゲットにした攻撃で見られた手口です。SMSでURLを送り付け、マルウェアを配布するサイトに誘導するのはRoaming Mantisの共通の手口ですが、「その際、誘導先のサイトに電話番号の入力フォームを用意しており、入力された番号を照合してあらかじめ作成しておいた電話番号のリストと合致しないとマルウェアが落ちてこないようになっている」（石丸氏）といいます。攻撃者がこうした手間のかかる手法をとる理由の1つは、セキュリティ研究者による検体収集・解析を困難にするためだと推測されます。本物のサービスのように見せて、ユーザーを信じさせる効果も狙っているかもしれません。「この方法は、使おうと思えば他の言語、例えば日本語でも使えるはず。そうなると、マルウェアの『見えない化』がさらに進む恐れがある」と石丸氏は指摘しました。ただ、こうしたいたちごっこは悪いことばかりではないと捉えているそうです。攻撃者が「見えない化」を図れば図るほど、彼らの工数は増えます。リサーチャーが追跡し、標的となるユーザー側も手口を知って気を付けることで、「攻撃者のストレスを上げ、工数を増やすことになる」（石丸氏）としています。～スマホは家でも会社でも外出先でもインターネットにつながっており、PC並みのスペックを備えていますし、人によっては複数台所有しています。攻撃者はこうした特徴に目を付け、この1～2年でPCだけでなくスマホを攻撃インフラとして使い始めたそうです。「スマホを経由し、どんどん雪だるま式にマルウェアが拡散されるインフラが整ってしまう恐れがある」と石丸氏は警告しました。海外の携帯電話事業者の場合、SMS送信は通数ごとに課金され、多数のメッセージを送信すると課金額が跳ね上がるので気付きやすいのですが、日本では課金体系が異なることも、踏み台化に気付きにくい要因だといいます。～対策に特効薬はありません。石丸氏は「スマホでもセキュリティ対策ソフトを導入して1つの防壁を作る」「メッセージが届いても、クリックする前に一呼吸置く」「URLをクリックしてフィッシングサイトに誘導されたとしても、アプリではなくWebブラウザかどうかをチェックする」といった基本的な事柄に留意してほしいと述べ、「自分が被害者になるだけでなく、SMSをばらまく加害者にならないよう気を付けてほしい」と注意を促しました。』

「見えない化」や感染したスマホを踏み台にする「宿主探し」は今リアルな問題の「新型コロナウイルス」と似ている動向とも感じられる。コンピュータウイルスとはそういうものなのだ。

感染スマホを“踏み台”に、マルウェアばらまく──巧妙化する「Roaming Mantis」の手口
https://www.itmedia.co.jp/news/articles/2003/17/news018.html