AppBuyerProtect ー 脱獄済みiOSに攻撃する新種マルウェアAppBuyerから身を守る
Palo Alto NetworksがiOSを対象とした新マルウェアに関してレポートを公表しています。
まとめますと、
最近我々は脱獄環境下にあるiOSデバイスに影響のある新しいマルウェアを発見、分析した。
このマルウェアは、
- C&Cサーバーに接続
- 悪意のあるファイルをダウンロード、実行
- ネットワークAPIに接続
- ユーザーのアップルIDとパスワードを盗み攻撃主のサーバーにアップロード
- 盗み取ったユーザー情報を使ってApp Storeからアプリ等を購入する。
【英】C&C server, Command and Control server
C&Cサーバーとは、サイバー犯罪に関する用語で、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となるサーバーのことである。
C&Cサーバーとは 「CアンドCサーバー」 (C&C server) シーアンドシーサーバー: - IT用語辞典バイナリ
要するに危険なのです。
影響を受けているデバイスには
- /System/Library/LaunchDaemons/com.archive.plist
- /bin/updatesrv
- /tmp/updatesrv.log
- /etc/uuid
- /Library/MobileSubstrate/DynamicLibraries/aid.dylib
- /usr/bin/gzip
これらのファイルが生成されています。
対策 - AppBuyerProtectを導入する
cydia.myrepospace.com/andrewwiik/
上記のレポをCydiaのソースに追加し、そこからAppBuyerProtectをインストール。
このパッケージをインストールするとダミーのupdatesrvが先に作成されてしまうので、悪意のあるパッケージが本物の方のupdatesrvをインストールできなくなるというわけ。逆にこのAppBuyerProtectがインストールできないということはすでにマルウェアに感染しています。
上記のレポは個人レポなので、そもそもそれを追加する事が心配という方もいらっしゃるかも。作者によればメジャーなレポ(恐らくBigBoss等デフォルトのソース)にも提出するかもとのことなので、そちらを待つのも良いかもしれません。
もし感染していた場合
前述したこれらのファイルが確認できた場合または上記のAppBuyerProtectのインストールが弾かれた場合、感染していると見なした方が良いでしょう。
- /System/Library/LaunchDaemons/com.archive.plist
- /bin/updatesrv
- /tmp/updatesrv.log
- /etc/uuid
- /Library/MobileSubstrate/DynamicLibraries/aid.dylib
- /usr/bin/gzip
Palo Alto Networksによればマルウェアの侵入経路が判明していないため、単に該当ファイルを削除しただけでは完全な解決にはならないかもしれない、としています。