Menu

XcodeGhostに続く脅威!iOSに新たな悪意のあるマルウェア”YiSpecter”が見つかる

0 Comment , , , , , , , , , , , , , , , , , ,
このエントリーをはてなブックマークに追加
Check
LINEで送る
Pocket

以前当ブログでも詳細をまとめた、App Storeにあるアプリも感染していて騒ぎとなった“Xcode Ghost”。そのXcode Ghostも基本的には殆どが中国のアプリであったことと(感染された開発ツールXcodeが中国で配布されていたことに起因する)、アプリを更新することでその影響がなくなることでその影響も殆どなくなってきた。

そんな矢先、またセキュリティ機構のPalo Alto Networks(パロアルトネットワークス)から、新たなマルウェア”YiSpecter(イースペクター)”の情報が公開された。Palo Alto Networksの上記のリンク先には膨大な情報が英語で紹介されているため、ある程度かいつまんで日本語で解説したい。

パロアルトネットワークスのサイトにはYiSpecterに関する日本語解説ページもあるが、あまりに情報が少ないので、上記の元の英語版に基づき情報を整理させていただいた。

※”Xcode Ghost”については以下のリンク参照。

Xcode-GhostApp Storeからも感染するiOSの深刻なマルウェア"Xcode Ghost"に要注意!現状と対策【2015/9/22更新】
http://xiaolongchakan.com/archives/%E4%B8%AD%E5%9B%BD%E3%81%A7%E6%B5%81%E8%A1%8C%E3%82%8Bios%E3%81%AE%E6%B7%B1%E5%88%BB%E3%81%AA%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2xcode-ghost%E3%81%AB%E8%A6%81%E6%B3%A8%E6%84%8F%E7%8F%BE.html
昨日、マルウェアに感染したXcode(開発ツール)が中国で公式サイトではないサイトからダウンロードされて出回り、それを使って開発...
 小龍茶館(このサイト内)  28 users

新たなマルウェア”YiSpecter(イースペクター)”とは?

YiSpecter_iOS_Malware_1

Palo Alto Networksによって“YiSpecter”と名付けられたこのマルウェアは、プライベートAPIを悪用して非ジェイルブレイクIOS端末を攻撃する初のiOSマルウェアだ。基本的に感染しているのはXcodeGhostと同様中国のアプリなので今のところは日本人にはあまり関係ないとはいえ、非脱獄デバイスも攻撃対象となるので注意が必要だ。

攻撃対象は基本的に中国大陸と台湾(簡体字のアプリなので恐らくほぼ大陸ユーザ)のiOSユーザに向けられたもので、このマルウェアに感染しているのは主に“HYQvod(快播私密版)”と“DaPian(大片播放器)”の2つのアプリだ(この2つのアプリのどちらかでも使っている人は即刻削除しよう)。ユーザはこれらのアプリの中のリンクをクリックすることで、悪意のある(主に広告目的)のページの動画が開かれることになる。

そして問題はそれだけにとどまらないのがこのマルウェアの怖いところだ。

感染の仕組み

YiSpecter_iOS_Malware_2

まずは、感染したアプリは脱獄されたデバイスでなくてもインストールできてしまい、それによってiOSがマルウェアに感染する。

感染したアプリはデバイスのエンタープライズアプリプロファイルを取得した後、デバイスに自動的に悪意のあるアプリをインストールさせる。例えばNoIcon、ADPage、NoIconUpdate、C2 Serverなど、強制的に更に多くのアプリに広告を表示させたりアプリをダウンロードさせることによって利益を得る仕組みとなっている。広告・ダウンロードのアフィリエイトの仕組みを悪用して儲けるために作られたマルウェアと考えていただいて差し支えないだろう。

感染したデバイスの症状は?

YiSpecter_iOS_Malware_3

  • 悪意のあるアプリによって、他のアプリを開いたときに強制的に全画面広告が表示されるようになる。
  • サードパーティ製の検査ツールではAppleのiOSシステムネイティブアプリ(例えば電話アプリなど)も検出される(これは悪意のあるアプリによって偽造されたものだ)。
  • 手動で本マルウェアを削除しても自動的に再現されてしまう

感染リスク

YiSpecter_iOS_Malware_4

YiSpecterに感染したデバイスでは、以下のことが可能になる。

  • 任意のiOSアプリをダウンロード、インストール、起動
  • ダウンロードしたアプリへの既存アプリを置き換え
  • 広告表示のため他のアプリ実行をハイジャック
  • Safariのデフォルトの検索エンジン、ブックマーク、開いたページの変更
  • C2サーバーへの端末情報のアップロード

更に、新たに任意のiOSアプリがダウンロードされた後、それらはデスクトップには表示されない(hidden)ため、一般ユーザには発見されにくい。

他にも、

  • アプリの自動的なアップデート
  • システム監視
  • ユーザ及びシステムの情報の収集
  • 強制的にこれまであったアプリが削除される
  • システムアプリが感染したように見せかけ、そして完全に削除しない限りまた増殖して現れる

という特徴があり、かなり悪質だ。

誰の仕業か

YiSpecter_iOS_Malware_5

Palo Alto Networksは、今回のYiSpecterは以前のXcode Ghostとは関係がないとしている。そしてマルウェアによる通信内容から判断するに、このマルウェアYiSpecterの作者は中国(大陸)の広告会社“微赢互动(YingMob Interaction)”という会社であるという。同時にこの会社がリリースしているiPhone管理やアプリダウンローダアプリ“好易苹果助手(またの名を‘蜂鸟助手’)”とも関係があるとされている。

YiSpecter32-500x369
マルウェアYiSpecterの作者、微赢互动(YingMob Interaction)のサイトのトップページ
YiSpecterと関係があるとされる蜂鸟助手のページ
YiSpecterと関係があるとされる蜂鸟助手のページ

Palo Alto Networksは既にこのマルウェアについてAppleに報告しているが、Appleからはコメントを得られていないという。

YiSpecterの削除方法

Palo Alto Networksによる”YiSpecter”マルウェアのデバイスからの削除方法は以下の通り。

  • 設定>一般>プロファイルの中から、これまで見たことがないものや信頼した覚えのないものは全て削除する
  • “情涩播放器”、“快播私密版”、“快播 0”などの、中国系の大手のものではない動画再生系のアプリを削除する
  • 母艦を使うiPhone管理ツール、例えばiFunBox等で、システムと同じ名前のアプリを検索する。例えば電話、天気、ゲームセンター、Cydia(脱獄インストーラの名前)など。これらが発見されたらすぐに削除する(これらはマルウェアによって偽造されたものなので、削除すべき。本来のiOSネイティブアプリは削除されることがないので安心してほしい)。

画蛇添足 One more thing…

また中国か。。ため息が出る。中国にはほんのごく一部ではあるのだが、商売のためなら手段を選ばずに何でもやってしまう人達がいる(そういう人達は実際中国だけじゃなくて世界中どこにでもいるのだが、中国が目立つなあ。。ということです)。

エロ動画を見たいとか、有料アプリを無料でインストールして使いたい、という人々の欲求につけ込み、そこに広告を強制的に表示させる仕組みを感染させるという、非常に頭のいい方法をとっているのがわかる。もちろんこれは自身の都合による他者のプログラムの勝手な改変のため、当然のことながら立派な犯罪行為だ。

このようなやり方はフェアではない。あくどい方法で多くの人に迷惑をかけた広告会社“微赢互动(YingMob Interaction)”に重い制裁が下ることを望む。

いずれにせよ、iOSユーザの方々は基本的にはアプリのインストールにはApp Storeのみを選択し、またこういったセキュリティ情報には敏感になっておいた方が良さそうだ。

記事は以上。

2015年度グッドデザイン賞受賞!!

私も開発に関わっている、究極のiPhone5s/5c/5用カバー”Palmo(パルモ)”!
Palmo (パルモ)「片手でラクラク いつも安定、安全、安心」
究極のiPhone5s/5c/5用カバー”Palmo(パルモ)”の蓄光素材モデル、"Palmo GiD"!
Palmo GiD
【Palmo × BRAVE HEART】キックボクシング世界4階級王者 佐藤嘉洋コラボモデル
Palmo × BRAVE HEART

【安全】セクシーでスタイリッシュな外観なのに、落としてもしっかり四つ角を守ってくれる!
【安定・安心】指を挟んで固定できるから、安定した片手でのラクラク操作を実現。電車の中、寝ながらの操作が楽に!自撮りもやりやすくなって安心!
【コダワリのデザイン】iPhone本来のデザインと生の触感を大事にしたい、つけない派のあなたにもぜひオススメ!
【各機種専用デザイン】iPhone6用、iPhone6 Plus用、iPhone5/5s/5c用はそれぞれ専用デザインになっています!
私も使っています!
塗るだけでスマートフォンの液晶ガラスを水晶化して保護!
【クリスタルガード・ガラスアーマー】

保護フィルム不要に!塗るだけで傷を防止するガラス強化剤『クリスタルガード・グラスアーマー』 - ガラス画面の全スマホ・タブレット対応
保護フィルム不要に!塗るだけで傷を防止するガラス強化剤『クリスタルガード・グラスアーマー』 - ガラス画面の全スマホ・タブレット対応 [エレクトロニクス]
クリスタルガード by kozmez


論より証拠!この記事で私自身もiPhone 6 Plusへの塗布後の実証実験を行っています。今までも何回も落としたり鍵などでひっかいていますが、割れることなく使えています(非常に強い光を当てたときにしか気づかない、非常に細かい傷はありますが、気にならないレベル)。
これはすごい!スマートフォン液晶ガラスを塗るだけで強化、クリスタルガード・グラスアーマー実証
http://xiaolongchakan.com/archives/4306275.html
巷で評判になっている、塗るだけでスマートフォン液晶ガラスを強化する、"クリスタルガード・グラスアーマー"。早速私も手に入れて、実...
 小龍茶館(このサイト内)  3 users

私も使っています!無線LANルータならこれに決まり!
最強ギガビット・フルスペック・フラッグシップモデル!!
【NEC Aterm WG1800HP2】

NEC AtermWG1800HP2 11ac/n/a(5GHz帯)&11n/g/b(2.4GHz帯) 同時利用タイプ PA-WG1800HP2
NEC AtermWG1800HP2 11ac/n/a(5GHz帯)&11n/g/b(2.4GHz帯) 同時利用タイプ PA-WG1800HP2 [Personal Computers]
NEC
2014-10-09


ネットがライフライン!という方には自信を持ってオススメ! 安定した無線・有線接続が実現します。カテゴリ7ケーブルと合わせると更に効果絶大

私も使ってます!
軽くて使える大容量モバイルバッテリー!
【Cheero Power Plus3】

cheero Power Plus 3 13400mAh 大容量 モバイルバッテリー
cheero Power Plus 3 13400mAh 大容量 モバイルバッテリー [エレクトロニクス]
cheero


バッテリーがもたない昨今のスマートフォン。モバイラーにとっては外出時には必須のモバイルバッテリーどうせ使うなら、いいものを
実績と信頼のCheero製で、安全の日本製電池使用。 大容量13,400mAhなのに、先代のCheeroよりもサイズを20%カット。iPhone6を4回充電可能。 2.4Aの出力もあり高速充電も可能。それでいてこのお値段! 発売当初人気絶頂で高額転売が続いたが、適正価格で買えるようになったのでご紹介。

私も使ってます!
MacBook Pro/AirのSSD容量が足りない人へ、SDカードスロットにジャストフィットのソリッドディスク!
【PNY StorEDGE Fit SDスロット disk】

PNY StorEDGE Fit SDスロット disk for MacBook Air, Pro (128GB)
PNY StorEDGE Fit SDスロット disk for MacBook Air, Pro (128GB) [エレクトロニクス]
PNY


MacBook Pro/AirのSSDの換装が非常にお金がかかるが、これならある程度手軽に増量可能。Airだとほんの少しだけ出っ張るだけで邪魔にならない。Proだと出っ張りが大きくなるので注意。

このエントリーをはてなブックマークに追加
Check
LINEで送る
Pocket

Related posts:

  1. iOSに拡がる深刻なマルウェア”Xcode Ghost”、Appleがとうとう存在を認める
  2. App Storeからも感染するiOSの深刻なマルウェア”Xcode Ghost”に要注意!現状と対策【2015/9/22更新】
  3. iOS脱獄犯は要注意!7万5千台のApple脱獄デバイスが感染しているマルウェアとは
  4. iOS8.4 beta4ではあのデスコード・メッセージクラッシュバグが修正されていることが判明
  5. iOS8.4でキーボードが消える問題の解決方法

こちらの記事もおすすめ:

Post Comment

nine − four =