以前当ブログでも詳細をまとめた、App Storeにあるアプリも感染していて騒ぎとなった“Xcode Ghost”。そのXcode Ghostも基本的には殆どが中国のアプリであったことと(感染された開発ツールXcodeが中国で配布されていたことに起因する)、アプリを更新することでその影響がなくなることでその影響も殆どなくなってきた。
そんな矢先、またセキュリティ機構のPalo Alto Networks(パロアルトネットワークス)から、新たなマルウェア”YiSpecter(イースペクター)”の情報が公開された。Palo Alto Networksの上記のリンク先には膨大な情報が英語で紹介されているため、ある程度かいつまんで日本語で解説したい。
※パロアルトネットワークスのサイトにはYiSpecterに関する日本語解説ページもあるが、あまりに情報が少ないので、上記の元の英語版に基づき情報を整理させていただいた。
※”Xcode Ghost”については以下のリンク参照。
新たなマルウェア”YiSpecter(イースペクター)”とは?
Palo Alto Networksによって“YiSpecter”と名付けられたこのマルウェアは、プライベートAPIを悪用して非ジェイルブレイクIOS端末を攻撃する初のiOSマルウェアだ。基本的に感染しているのはXcodeGhostと同様中国のアプリなので今のところは日本人にはあまり関係ないとはいえ、非脱獄デバイスも攻撃対象となるので注意が必要だ。
攻撃対象は基本的に中国大陸と台湾(簡体字のアプリなので恐らくほぼ大陸ユーザ)のiOSユーザに向けられたもので、このマルウェアに感染しているのは主に“HYQvod(快播私密版)”と“DaPian(大片播放器)”の2つのアプリだ(この2つのアプリのどちらかでも使っている人は即刻削除しよう)。ユーザはこれらのアプリの中のリンクをクリックすることで、悪意のある(主に広告目的)のページの動画が開かれることになる。
そして問題はそれだけにとどまらないのがこのマルウェアの怖いところだ。
感染の仕組み
まずは、感染したアプリは脱獄されたデバイスでなくてもインストールできてしまい、それによってiOSがマルウェアに感染する。
感染したアプリはデバイスのエンタープライズアプリプロファイルを取得した後、デバイスに自動的に悪意のあるアプリをインストールさせる。例えばNoIcon、ADPage、NoIconUpdate、C2 Serverなど、強制的に更に多くのアプリに広告を表示させたりアプリをダウンロードさせることによって利益を得る仕組みとなっている。広告・ダウンロードのアフィリエイトの仕組みを悪用して儲けるために作られたマルウェアと考えていただいて差し支えないだろう。
感染したデバイスの症状は?
- 悪意のあるアプリによって、他のアプリを開いたときに強制的に全画面広告が表示されるようになる。
- サードパーティ製の検査ツールではAppleのiOSシステムネイティブアプリ(例えば電話アプリなど)も検出される(これは悪意のあるアプリによって偽造されたものだ)。
- 手動で本マルウェアを削除しても自動的に再現されてしまう
感染リスク
YiSpecterに感染したデバイスでは、以下のことが可能になる。
- 任意のiOSアプリをダウンロード、インストール、起動
- ダウンロードしたアプリへの既存アプリを置き換え
- 広告表示のため他のアプリ実行をハイジャック
- Safariのデフォルトの検索エンジン、ブックマーク、開いたページの変更
- C2サーバーへの端末情報のアップロード
更に、新たに任意のiOSアプリがダウンロードされた後、それらはデスクトップには表示されない(hidden)ため、一般ユーザには発見されにくい。
他にも、
- アプリの自動的なアップデート
- システム監視
- ユーザ及びシステムの情報の収集
- 強制的にこれまであったアプリが削除される
- システムアプリが感染したように見せかけ、そして完全に削除しない限りまた増殖して現れる
という特徴があり、かなり悪質だ。
誰の仕業か
Palo Alto Networksは、今回のYiSpecterは以前のXcode Ghostとは関係がないとしている。そしてマルウェアによる通信内容から判断するに、このマルウェアYiSpecterの作者は中国(大陸)の広告会社“微赢互动(YingMob Interaction)”という会社であるという。同時にこの会社がリリースしているiPhone管理やアプリダウンローダアプリ“好易苹果助手(またの名を‘蜂鸟助手’)”とも関係があるとされている。
Palo Alto Networksは既にこのマルウェアについてAppleに報告しているが、Appleからはコメントを得られていないという。
YiSpecterの削除方法
Palo Alto Networksによる”YiSpecter”マルウェアのデバイスからの削除方法は以下の通り。
- 設定>一般>プロファイルの中から、これまで見たことがないものや信頼した覚えのないものは全て削除する
- “情涩播放器”、“快播私密版”、“快播 0”などの、中国系の大手のものではない動画再生系のアプリを削除する
- 母艦を使うiPhone管理ツール、例えばiFunBox等で、システムと同じ名前のアプリを検索する。例えば電話、天気、ゲームセンター、Cydia(脱獄インストーラの名前)など。これらが発見されたらすぐに削除する(これらはマルウェアによって偽造されたものなので、削除すべき。本来のiOSネイティブアプリは削除されることがないので安心してほしい)。
画蛇添足 One more thing…
また中国か。。ため息が出る。中国にはほんのごく一部ではあるのだが、商売のためなら手段を選ばずに何でもやってしまう人達がいる(そういう人達は実際中国だけじゃなくて世界中どこにでもいるのだが、中国が目立つなあ。。ということです)。
エロ動画を見たいとか、有料アプリを無料でインストールして使いたい、という人々の欲求につけ込み、そこに広告を強制的に表示させる仕組みを感染させるという、非常に頭のいい方法をとっているのがわかる。もちろんこれは自身の都合による他者のプログラムの勝手な改変のため、当然のことながら立派な犯罪行為だ。
このようなやり方はフェアではない。あくどい方法で多くの人に迷惑をかけた広告会社“微赢互动(YingMob Interaction)”に重い制裁が下ることを望む。
いずれにせよ、iOSユーザの方々は基本的にはアプリのインストールにはApp Storeのみを選択し、またこういったセキュリティ情報には敏感になっておいた方が良さそうだ。
記事は以上。