脱獄していないiPhoneなどにも感染するマルウェア「AceDeceiver」が発見!DRMの脆弱性を突いて一時的に「App Store」でも配信――中国を対象にしているものの、今後世界に広がる可能性も



脱獄していないiOSでは初のマルウェアが発見!

Palo Alto Networks(パロアルトネットワークス)は16日(現地時間)、同社のセキュリティーチーム「Unit 42」がAppleの脱獄(Jailbreak)していないiPhoneやiPadなどのiOS搭載機器にて感染する初のマルウェア群「AceDeceiver」を発見したと発表しています。

AceDeceiverがこれまでのiOSをターゲットにしたマルウェアと異なっている点は、過去2年間にあったようなエンタープライズ証明書を悪用するのではなく、エンタープライズ証明書を使わずに自分自身をインストールする点だとのこと。

これには、AppleのDRM(デジタル著作権管理機能)における設計の欠陥を悪用しており、すでにアプリ配信マーケット「App Store」からAceDeceiverが削除されているにも関わらず、新たな攻撃経路によって引き続き拡散される可能性があるとしています。

02

同社ではAceDeceiverがiOSをターゲットにしたマルウェアとしては初めてのタイプで、AppleのDRM、つまり、FairPlayの特定の設計上の欠陥を悪用して、脱獄されていなくてもiPhoneなどに悪意のあるアプリをインストールできてしまうそうです。

この技術は「FairPlay Man-In-The-Middle(MITM)」と呼ばれ、2013年以降に違法コピーされたiOS向けアプリを配布するために使用されてきたとし、それがマルウェアを拡散させるために使用されているとして今回検出されたとのこと。

なお、FairPlay MITMによる攻撃は、2014年のセキュリティー関連イベント「USENIX Security Symposium」でも提起されていましたが、これを使用した攻撃は引き続き発生しているということです。

FairPlay MITM攻撃では、攻撃者はApp Storeからアプリを購入し、認証コードをインターセプトして保存し、iTunesの動作をシミュレートするパソコン用ソフトウェアによってアプリが被害者によって購入されたものとiPhoneなどに見せかけて侵入してくる仕組みで、ユーザーは一切支払いをすることなくアプリをインストールしてしまい、ソフトウェアの作成者はユーザーが気付かないうちに潜在的な悪意のあるアプリをインストールさせてしまうとしています。

今回見つかったAceDeceiverを含む3種類のiOS向けアプリは、2015年7月から2016年2月までの間に「壁紙アプリ」と称してApp Storeで配信されており、少なくとも7回はAppleの審査を回避していたことがわかっています。

App Store内での名前バージョンバンドルIDリリース日店舗開発者
壁纸助手6.0.xcom.aisi.aisiring2015/07/10香港、ニュージーランドfangwen huang
AS Wallpaper7.0.xcom.aswallpaper.mito2015/11/07米国Yuzu He
i4picture7.1.xcom.i4.picture2016/01/30米国、英国liu xiaolong

このケースでは、ユーザーが中国国内にいる場合にAceDeceiverは悪意のある動作を表示するだけだったものの、今後、動作を随時変更することができ、Appleでは同社が2016年2月後半にこれら3つのアプリを報告した後にApp Storeから削除しています。

ただし、FairPlay MITM攻撃はすでに配布されていたアプリから引き続き実行可能で、攻撃者がAppleからの認証コードのコピーを取得できる限り、攻撃によってそれらのアプリを拡散するために、現在のApp Storeでアプリが入手可能である必要はありません

FairPlay MITM攻撃を実行するためのパソコン用ソフトウェアとして「爱思助手(Aisi Helper)」が作成され、WindowsでiOS搭載機器のバックアップやデバイス管理、システムクリーニング、脱獄などを行なうツールと称し、それ以外にも悪意のあるアプリを密かにインストールします。

注目すべきは、感染時に最新のアプリがiPhoneなどにインストールされるだけでなく、3つすべてが同時にインストールされる点で、これらの悪意のあるiOS向けアプリは、ユーザーがiOS向けアプリやゲームをダウンロードするようにサードパーティーのアプリ配信マーケットへの接続を提供します。

ユーザーはさらに機能を使用するためにApple IDとパスワードの入力が求められ、入力されたこれらの認証情報は、暗号化された後、AceDeceiverのC2サーバーにアップロードされ、2015年3月の日付のエンタープライズ証明書を持つ、早期バージョンのAceDeceiverも発見されています。

現時点では、AceDeceiverは中国本土内のユーザーのみに影響するかのように見えますが、より大きな問題は、AceDeceiverが脱獄していないiPhoneなどに感染させるための手段を証明している点で、これらの攻撃者、または模倣者によって、世界中のより多くの地域に広がる可能性があるとし、5つの点でこれまでのマルウェアよりも危険だとしています。

03


記事執筆:memn0ck


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
ACEDECEIVER:初のIOSトロイの木馬

共有する

関連記事

【気になるトレンド用語】″○″じゃない!とっても怖いマルウェアってなに?

皆さんは、"マルウェア"という言葉を聞いたことはありますか?一瞬、記号の"○"が頭に浮かんでしまうようなユニークな名前ですが、実はこれ、私たちのパソコンに害を及ぼすとても怖い存在なのです。インターネットの世界では、悪意あるプ…

【世界のモバイル番外編】日本登場はあるのか?全世界が浮かれた″iPhone″狂乱騒ぎ

発表から5ヶ月の時間を経て、ようやく6月29日にアメリカで発売されたアップル初のケータイ「iPhone」。全米のアップルストアの前には、1秒でも早く手に入れようとする人たちの行列で埋め尽くされた。なかでも、NY店の前には100時間以…

【世界のモバイル】iPhoneを日本は受け入れられるか? キャリアからメーカー端末へ

Appleの携帯電話「iPhone」は端末の機能や使い勝手のみならず、これまでの携帯電話業界の商習慣とは異なる新しいビジネスモデルとしても注目されている。iPhoneの目新しさの1つが端末の販売方法だ。この新しい販売スタイルは日本でも受…

【世界のモバイル】iPhone販売にみる″SIMロック″の限界

好調なAppleのiPhoneだが、北米での販売方法にあらたな制限が加えられるようである。携帯電話業界に革新を持ち込んだiPhoneだが、その人気のために逆に自由に購入できなくなってしまうというジレンマを引き起こしているようだ。■販売好…

【知っ得!虎の巻】同じアプリケーションのグループ化を解除!タスクバーをわかりやすくしよう

アプリケーションを起動したり、フォルダを開いたりすると、デスクトップにウィンドウが開く。これらの起動しているウィンドウは、タスクバーにボタンとして表示され、現在起動しているウィンドウとしてタスクバー上で確認できるように…