読者です 読者をやめる 読者になる 読者になる

AppBuyerProtect ー 脱獄済みiOSに攻撃する新種マルウェアAppBuyerから身を守る

セキュリティ Jailbreak iPhone

Palo Alto NetworksがiOSを対象とした新マルウェアに関してレポートを公表しています。

f:id:provdr:20140916145846j:plain

AppBuyer: New iOS Malware Steals Apple ID and Password to Buy Apps ‹ Palo Alto Networks BlogPalo Alto Networks Blog

まとめますと、
最近我々は脱獄環境下にあるiOSデバイスに影響のある新しいマルウェアを発見、分析した。
このマルウェアは、

  1. C&Cサーバーに接続
  2. 悪意のあるファイルをダウンロード、実行
  3. ネットワークAPIに接続
  4. ユーザーのアップルIDとパスワードを盗み攻撃主のサーバーにアップロード
  5. 盗み取ったユーザー情報を使ってApp Storeからアプリ等を購入する。

【英】C&C server, Command and Control server
C&Cサーバーとは、サイバー犯罪に関する用語で、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となるサーバーのことである。
C&Cサーバーとは 「CアンドCサーバー」 (C&C server) シーアンドシーサーバー: - IT用語辞典バイナリ


要するに危険なのです。

影響を受けているデバイスには

  • /System/Library/LaunchDaemons/com.archive.plist
  • /bin/updatesrv
  • /tmp/updatesrv.log
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /usr/bin/gzip

これらのファイルが生成されています。

対策 - AppBuyerProtectを導入する

cydia.myrepospace.com/andrewwiik/

上記のレポをCydiaのソースに追加し、そこからAppBuyerProtectをインストール。

このパッケージをインストールするとダミーのupdatesrvが先に作成されてしまうので、悪意のあるパッケージが本物の方のupdatesrvをインストールできなくなるというわけ。逆にこのAppBuyerProtectがインストールできないということはすでにマルウェアに感染しています。

上記のレポは個人レポなので、そもそもそれを追加する事が心配という方もいらっしゃるかも。作者によればメジャーなレポ(恐らくBigBoss等デフォルトのソース)にも提出するかもとのことなので、そちらを待つのも良いかもしれません。

もし感染していた場合

前述したこれらのファイルが確認できた場合または上記のAppBuyerProtectのインストールが弾かれた場合、感染していると見なした方が良いでしょう。

  • /System/Library/LaunchDaemons/com.archive.plist
  • /bin/updatesrv
  • /tmp/updatesrv.log
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /usr/bin/gzip

Palo Alto Networksによればマルウェアの侵入経路が判明していないため、単に該当ファイルを削除しただけでは完全な解決にはならないかもしれない、としています。

感染が確認出来た時点でOSを真っ新に入れ替えるのが1番確実でしょう。また、海賊版を扱っているレポや怪しいクラックdeb等を安易に使用しない事です。
広告を非表示にする