またまた新たなマルウェア「YiSpecter」全iOSユーザーは要注意!!

PeyPey ニュース コメントを投稿する

過去にXcodeGhostKeyRaiderなどを確認した、セキュリティ企業である、パロアルトネットワークスによってまた新たなマルウェアが発見された。
今回発見されたこのマルウェアは脱獄デバイスと非脱獄デバイスの両方を攻撃することが確認されており、名前は「YiSpecter」と名付けられた。

YiSpecterは、脱獄デバイスと非脱獄デバイスの両方を攻撃するが、これまでに発見したiOSマルウェアとは異なり、プライベートAPIを乱用し、悪質な機能を実装するという、今までにはなかったタイプのマルウェアだという。

YiSpecter

パロアルトネットワークスの調査によると、YiSpecterはエンタープライズ証明書で署名された4つの異なるコンポーネントで構成されている。

そしてプライベートAPIを悪用することで、これらのコンポーネントは、C2サーバーをコントロールできる。

YiSpecter2
YiSpecter:開いたURLを変更するコード

悪質なコンポーネントのうちの3つは、iOSののスプリングボードからのアイコンを非表示にするトリックを使っている。これはユーザーが発見し削除することを防ぐためである。さらにユーザーを騙すためにシステム・アプリケーションと同じ名前やロゴを使用するという巧妙な手口である。

エンタープライズ証明書を使用することで、過去に発見されたWireLurkerマルウェアで脱獄していないiOSデバイスでもマルウェアが感染することが実証されていた。YiSpecterは、このエンタープライズ証明書とプライベートAPIの2つの攻撃方法を組み合わせてより広い範囲のユーザーに害を引き起こすことが出来る世界初のiOSマルウェアである。

さらに最近の研究ではApp Storeに並ぶ100種類以上のアプリはプライベートAPIを乱用し、Appleの厳しいコードレビューを回避している。

 

特徴

このマルウェアに関するいくつかのその他の特徴は以下のとおり。

  • iPhoneが脱獄デバイスであるか、そうでないかにかかわらずマルウェアはダウンロード・インストールされる。
  • 手動でマルウェアを削除しても再び自動的に現れる
  • サードパーティ製のツールを使用すると、いくつかの奇妙なシステム・アプリケーションを見つけることが出来る。
  • いくつかのケースでは、感染したデバイスで通常のアプリを開いた時にフルスクリーン広告が表示される。

 

感染した場合

感染したiOSデバイスでは、具体的には以下のようなことが行われている。

  • YiSpecterは、任意のiOSアプリをダウンロード、インストール、および起動することができる。
  • 広告を表示するために既存のアプリケーションと任意のアプリケーションを置き換える。
  • Safariのデフォルトの検索エンジンやブックマーク、開いたページを変更する。
  • デバイスの情報をC2サーバにアップロードする。

 

感染ルート

YiSpecterは現在のところ中国本土と台湾のiOSユーザーに影響を与えていることが確認された。

これは、全国のISPやWindowsのSNSワーム、オフラインアプリのインストールなどのトラフィックのハイジャックなど、異常な手段を介して広がっている。以下はその一例である。

インターネットトラフィック

internet-trafic
ポップアップ広告がWiFi環境のみ表示される

ポップアップダイアログの表示が報告されている。これらのポップアップはWiFi環境でのみ表示され、モバイルネットワークでは表示されない。

いくつかの脱獄/非脱獄のiOSデバイスで、SafariのCookieをクリアしたり、iOSをリセット、iCloudのアカウントを変更するなどしてポップアップのブロックを試みようとしたが改善されず。

SNSワーム

SNS-worm
Lingdunワームによってアップロードされた悪意のあるWebページ

YiSpecterはLingdunと呼ばれるマルウェア検出を迂回するワームも使用しているという。中国のインスタントメッセンジャー「QQ」などでマルウェアをダウンロードするためにリダイレクトされるというもの。(画像は当サイトの加工によるもの)

 

YiSpecterのメインとなるアプリ

Main app
他のiOSアプリのインストールを促進

パロアルトネットワークスの調査によると、少なくとも2つの主要なアプリが存在するという。

  • HYQvod(Bundle ID:weiying.Wvod)
  • DaPian(Bundle ID:weiying.DaPian)

これらの両方は、上記の方法の1つまたは複数を使用して広がっている。これらはアプリの追加インストールを促進することでを収益を得ようとするものであるが、それよりも重要であるのは、パロアルトネットワークスによって命名された「NoIcon」と呼ばれるものがインストールされるということである。

このNoIconは感染したデバイス上で以下の様な悪質な行動を起こす。

  • コマンドに接続し、HTTPを使用してサーバーを制御
  • 基本的なデバイス情報をアップロード
  • 検索やリモートコマンドを実行
  • iOSのSafariのデフォルト検索の設定を変更
  • 悪意のあるアプリ「ADPage」と「NoIconUpdate」をインストール
  • 他のインストール済みのアプリを監視し、起動するとADPageを使って広告を表示。

 

YiSpecterの対処と予防

これらの問題はすでにAppleに報告済みであるが、パロアルトネットワークスでは対処法を説明している。以下の手順で対処可能だ。

追記
iOS 8.4時点でAppleが対策しているようなので、アップデートするということが一番シンプルで簡単な対策である。

  1. iOSアプリの設定>一般>プロファイルへと進み、未知または信頼されていないプロファイルを削除
  2. インストール済みのアプリケーションに「情涩播放器」や「快播私密版」や「快播0」があれば削除
  3. iFunboxなどのサードパーティ製のiOS管理ツールを使用してWindowsまたはMac OS XにiPhoneまたはiPadを接続し、インストールされている全てのiOSアプリをチェックし、
    Phone、Weaher、Game Center、Passbook、Notes、Cydiaに似たような名前の別のアプリを削除する。(問題のない標準のアプリを削除しないように注意

日本で広がることは少ないかもしれないが、知っておくに越したことはないだろう。その他、更に詳しい内容は以下リンクを参考に。

via:paloaltonetworks.com