シマンテックは、正規のAndroidアプリケーションにトロイの木馬が仕込まれたバージョンを検出しました。このバージョンはいわば、予言を行う脅威です。この脅威は、「Holy***king Bible」というアプリケーションの海賊版に埋め込まれていたものですが、このアプリケーション自体が、その流通に使われたいくつものフォーラムですでに物議をかもしていたものでした。
この脅威は、インストールされるとデバイスが再起動されるまで待機します。デバイスが再起動されると、「theword」というサービスを起動し、定期的にホストサービスに接続して、デバイスの電話番号と通信事業者コードを送信しようとします。次に、リモートサーバーからコマンドの取得を試みます。同じ処理が33分間隔で繰り返し実行されます。この脅威はインターネットやSMS経由でコマンドに応答する機能を持つほか、2011年5月21日と22日にそれぞれトリガされるように設計された活動が仕組まれています。
[画像のクリックで拡大表示]
残されたいくつかの手掛かりから、この脅威は北米のユーザーを狙ったものであることがわかります。その明らかな証拠は、米国式の日付形式(MMDDYYYY)を確認していることです。つまりこの活動は、日付が「22052011」などの形式ではなく「05222011」形式でないとトリガされないということです。
ほかにも、特定地域のユーザー向けに書かれ、特定の文化でしか通用しない言葉(特有な表現)が含まれているという手掛かりがあります。また、米国に本拠地を置くメーリングリスト(ColbertPAC)にユーザーを登録しようとする点も特徴的でした。そして何より、5月21日に世界が終わるという騒ぎは、ほとんどが北米に限られているということも見逃せません。