ネットバンキングを狙い、取引データを盗取するエメンタル作戦を再度確認したとしてトレンドマイクロが注意を呼びかけている。
エメンタル作戦は2014年に一度確認されているサイバー攻撃で、銀行を装ったメールを送信し、モバイルアプリの更新版ダウンロードを促してアプリをダウンロードさせ、管理者権限を要求する。その後不正アプリを利用してSMSメッセージ傍受によりユーザのバンキングデータを乗っ取る攻撃で、今回確認されたアプリではテキストメッセージを解してリアルタイムでコマンドを発行し、スマートフォンのパスワード再設定などの不正活動が可能で、これによりユーザのスマートフォンのパスワードが変更されて使用できなくなる。これは、不正な取引実行をすぐに気づかせないための手法と見られる。
今回の不正アプリもワンタイムパスワードを生成するバンキングアプリを装うが、実際にはあらかじめ用意された文字列リストからパスワードをランダム選択する。また、ユーザに気づかれないよう環境設定ファイルのダウンロードや解析、あらかじめ設定したC&CサーバのURL利用可否の確認、Blowfishアルゴリズムを用いた感染端末と遠隔ユーザ間の通信回線の確立、保存されたテキストメッセージの送出などを行う。このアプリはメッセージ傍受以外にもコマンド送信が可能で、攻撃者はLOCKコマンドによりパスワード設定が可能となる。攻撃者がパスワードを変更するとスマートフォンが使用できなくなるため、デバイス管理者の設定を要求するアプリには注意が必要となる。攻撃者にモバイル端末を制御される恐れがあるため、ユーザはファイルバックアップをとるようにし、すべての端末にセキュリティ対策製品を導入するよう推奨している。