2014年に日本のネットバンクを狙ったサイバー攻撃が欧州で再び

これらのURLや電話番号には、共有設定ファイル「MainPref.xml」が保存される。

設定ファイル内には「USE_」から始まる以下の変数が定義されており、実行時に利用するURLが登録される。

また、テキストメッセージを介してコマンドを受信して制御コマンドかどうかを確認する。例えば、コマンド「LOCK」は画面をロックするパスワードを初期化し、攻撃者は遠隔からリアルタイムで新しいパスワードを設定できる。こうなると、ユーザがスマートフォンを使用できなくなるなるが、攻撃者は「UNLOCK」のコマンドでロックを解除できる。

コマンドは複数あり、例えば「GOOGL」はメッセージを送信してテキストメッセージを傍受し、「GOOGLE」は電話番号を削除し、テキストメッセージの傍受を中止する。また、「YAHOO」はC&CサーバーのURLを設定し、傍受したテキストメッセージを送信する。

トレンドマイクロは、エメンタル作戦によって攻撃者がモバイル端末を遠隔から制御する可能性があるため、ユーザー側の対策としてファイルのバックアップを残し、セキュリティソフトを導入するように呼び掛けている。