具体的には、まずユーザーが App Store から普通にアプリを購入する際、AppStore から母艦 PC の iTunes に対して認証コードが発行されます。攻撃者はこの認証コードを含む通信を傍受し、さらに iTunes の通信を模倣するPCソフトウェア「Aisi Helper」が認証コードを使って、ユーザーの iPhone/iPad などにAceDeceiverを含むアプリを"購入済みアプリ"として勝手にインストールします(冒頭の画像参照)。
AceDeceiver を含むアプリは、いろいろな表示画面を出してはユーザーの Apple ID とパスワードを求めてくるとのこと。
注意しておくべきは、Aisi Helper を PC にインストールしているユーザーの iOS デバイスが、このマルウェアに感染するおそれがあるということ。Aisi Helper はiPhoneを脱獄させる機能も持っているものの、iOS デバイスを脱獄していなくても Aisi Helper 使っているだけで iOS デバイスにマルウェアをインストールできてしまいます。
Aisi Helperの画面
アップルはすでにAceDeceiver の感染に関係したアプリを App Store から取り除く処置を実施しました。また、見つかったマルウェアは中国国内に利用を制限されているため、日本国内においてこのマルウェアに感染する可能性はかなり低そうです。
一連の感染のきっかけとなる MITM 攻撃そのものは3年ほど前から知られています。しかし、今回 MITM 攻撃を使い、初めて未脱獄の iOS デバイスにマルウェア入りアプリをインストールする例がみつかったことから、Palo Alto Networks は世界的に大きな感染が発生する可能性があると警告しています。
ちなみに、PaloAltoNetworks はこれまでに以下のアプリが中国以外でも AceDeceiver を含むアプリとして見つかっていると報じています。
- 壁纸助手 6.0.x 香港、ニュージーランド
- AS Wallpaper 7.0.x 米国
- i4picture 7.1.x 米国、英国
[Images : Palo Alto Netoworks]