iOSの不正プロファイル「iXintpwn」の亜種が見つかる! |
トレンドマイクロは9日、iPhoneなどで利用するiOSの「構成プロファイル」を悪用し、インストールすると削除できない大量のアイコンがホーム画面に追加される「iXintpwn(別名「YJSNPI(ヤジュウセンパイ)ウイルス」)の亜種を発見したと発表しています。
iXintpwnは野獣先輩がホーム画面いっぱいに並ぶという見た目のインパクトもあり、今年9月に各所で話題となったため、ご存じの方も多いのではないでしょうか。
ただし、従来のiXintpwnは未署名かつJailbreakツールを装っていたため、対象者が限られていましたが、亜種は署名がある上にゲームなどを提供するアプリストアとなっており、より対象者が広いのでトレンドマイクロでは注意が必要だと勧告しています。
【亜種はさらに感染方法が巧妙に】
iXintpwnの構成プロファイルは未署名だったため、注意深く確認すれば事前に感染を防ぐことができましたが、今回見つかった亜種の構成プロファイルは署名されており、構成プロファイルの説明には「ゲーム、ソフトウェア、壁紙を提供するiOS アプリストア」と記載があります。
iXintpwnはJailbreakツールを装っていたため、感染する人は限られていましたが、亜種については一般ユーザーを狙っていることが確認できます。
【アイコンが大量に作成されるわけではない】
iXintpwnの亜種ということは、ホーム画面に意味の無いアイコンが大量に追加されるのか、と思われがちですが、この亜種はホーム画面に4つだけアイコンを作成します。
4つだけと記載しましたが、一度作成されてしまうと削除できないので非常に厄介なことには変わりありません。
【アクセスする機種によってダウンロードさせるものを使い分ける】
iXintpwnの亜種を配布しているWebサイトは、アクセスする機種(UserAgent)によってダウンロードさせるものを分けており、Androidでアクセスすると中国で人気がある正規のアプリストアを導入するAPKファイルのダウンロードページへ誘導されます。
一方、iPhoneなどのiOS搭載機種でアクセスすると、iXintpwnの亜種を導入するページに誘導され、構成プロファイルを導入してしまうと、「51 苹果助手」や「Baidu」などの消せないアイコンがホーム画面に追加されてしまいます。
Androidには被害がないから安全と言いたいところですが、この2つのサードパーティーアプリストアの共通点として、Android向けマルウェア「ZNIU」が配布されていたWebサイトであることが判明しています。
さらにトレンドマイクロがiXintpwn配布先のJavaScriptをさらにに詳しく確認してみたところ、処理には一切関係ないコメントアウトされた部分にZNIUが含まれるAPKのURLが記載されていたことが明らかになったため、AndroidであってもiOSであってもアクセスするのは危険だとしています。
【iOSの構成プロファイルは本来は便利な仕組み】
構成プロファイルは本来、電子メールアカウントやネットワーク、認証情報の設定などを簡単化するもので、NTTドコモやソフトバンクでも採用されています。特に格安SIMなどの仮想移動体通信事業者(MVNO)の携帯電話サービスを利用するときには多くのケースでは手動で構成プロファイルをインストールするようになっています。
そんな構成プロファイルですが、iXintpwnが登場するまでは、その危険性があまり認知されていなかったためか、そこまで大きく注目されることはありませんでした。
また、日本であれば大手携帯電話会社のメールアドレスなどを設定する際に導入するようにと案内を受けるため、ほとんどのユーザーがその構成プロファイルが正規のものなのかどうかきちんと確認せずに導入する習慣づけがなされています。
今回の亜種は中国語圏ユーザーを狙った物だったため、ただちに影響が出ることは考えられにくいですが、今後日本のユーザーを標的にした新たな亜種が出る可能性も否定できません。
今回の発見を教訓にし、構成プロファイルをインストールする際は、盲目的に信用するのではなく、きちんと注意してインストールするようにした方が良さそうです。
記事執筆:YUKITO KATO
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Android 向け不正アプリ「ZNIU」を配布していたアプリストアで iOS の不正プロファイル「iXintpwn」の新しい亜種を確認 | トレンドマイクロ セキュリティブログ