225,000件のApple IDを盗んだ「KeyRaider」マルウェアは18カ国で感染

数日前にも話題となっていたiCloudのアカウントとパスワード流出問題。WeipTechによって発見されたiOSのマルウェアの一部が225,000件の脱獄しているデバイスからのApple IDとパスワードを盗み取っていることを発見した。これらを使うことで公式のApp Storeからアプリの購入などを行うことが出来る。

パロアルトネットワークスの研究者たちは、WeipTechと協力し、マルウェアのサンプルを抽出し、このマルウェアを「KeyRaider」と名づけた。

18カ国で広まる

KeyRaiderは脱獄しているデバイスで、Cydiaで使用する中国のサードパーティリポジトリを介して配布されている。いわゆる海賊版リポジトリ内のいくつかのTweakをインストールすると感染するようだが、パロアルトネットワークスの報告によるとこの脅威は以下の18カ国のユーザーに影響を与えているとことが確認されている。

  • 中国
  • フランス
  • ロシア
  • 日本
  • イギリス
  • 米国
  • カナダ
  • ドイツ
  • オーストラリア
  • イスラエル
  • イタリア
  • スペイン
  • シンガポール
  • 韓国

このKeyRaiderマルウェアはMobileSubstrateを通じて処理し、iTunesのトラフィックを傍受することにより、ユーザー名やパスワードを盗み取るようだ。また、Appleのプッシュ通知サービスの証明書と秘密鍵を盗み、Apple Storeで悪用できるという。さらにiPhoneやiPad上でローカルおよびリモートロック解除機能を無効にすることが出来る。

目的

この攻撃は、公式のApp Storeから実際に支払いを行うことなくアプリケーションを購入することができてしまう2つの脱獄アプリが目的であり、ユーザーが一般的には操作できないようなアクションを実行できるソフトウェアパッケージとのこと。

これらの2つのTweakは、アプリの購入要求を操作し、C2 サーバーからアカウントと購入証明書をダウンロードすることができる。被害にあった場合には、異常なほどの購入履歴が表示されていることや、デバイスがロックされ、身代金を要求されているユーザーもいるという。

 

確認と予防

パロアルトネットワークスが公開している方法で確認、予防しておこう。

  1. Cydiaから「OpenSSH」をインストールする
  2. SSHを介してデバイスに接続する
  3. /Library/MobileSubstrate/DynamicLibraries/に移動する
  4. grepなどで以下の文字列を検索する
    • wushidou
    • gotoip4
    • bamu
    • getHanzi

これらを検索した場合に上記の文字列を含む「dylib」ファイルがある場合は削除し、同じファイル名のplistファイルも削除後に再起動をおこなう。

追記1:
海外の複数のメディアで公開されている以下のコマンドを入力すれば上記のものを検索し、削除してくれるようだ。わざわざ手動で削除する必要はない。
ターミナルなどで以下のコマンドをコピーして入力しよう。検出すれば自動で削除してくれるそうだ。

cd /Library/MobileSubstrate/DynamicLibraries; declare a=$(ls | grep -i -E “wushidou|gotoip4|BAMU|getHanzi”); rm -f $a

追記2:

http://wolfposd.github.io/

Cydiaに上記のリポジトリを登録し、「DylibSearch」をインストールするともう少し簡単に感染しているかどうかを調べることが出来るそうだ。

 

そして重要なAppleの2段階認証である2 ステップ確認の設定を行っておこう。

 

海賊版リポジトリはもっての他ではあるが、サードパーティ製のリポジトリには危険なものが潜んでいることがあるので注意が必要だ。

また詳細は以下のリンクから確認可能だ。

via:paloalto