非脱獄iOSデバイスにも静かに感染を広げる新手のマルウエア「AceDeceiver」

 

米セキュリティ企業のPalo Alto Networksは3月16日(現地時間)、iOSをターゲットにした新手のマルウェア「AceDeceiver」を確認したと伝えた。エンタープライズ向けの証明書を悪用することなく、脱獄(ジェイルブレイク)させていないiOSデバイスにも感染し、Apple ID情報などをユーザーから盗み取る可能性があるという。

パソコンのiTunesを使ってApp StoreからiOSアプリを入手し、iOSデバイスにインストールする際に、iOSデバイスは認証コードを要求して、そのアプリがApp Storeから正規に入手されたものか確認する。このiTunesの振る舞いを疑似的に実行することで、iOSデバイスに非正規のアプリをインストールさせることが可能になる。2013年頃から海賊版アプリの配布に用いられていた手法だが、AceDeceiverはそれをマルウエアの拡散に利用している。いわゆる中間者攻撃(MITM: Man-In-The-Middle)である。

Palo Alto Networksによると、2015年7月から2016年2月までの間に、少なくとも3つのAceDeceiverファミリーのアプリが、App Storeの審査を通過して同ストアで配布されていた。それらはマルウエアと判断されて2016年2月にApp Storeから削除されたが、その後もAceDeceiverの攻撃は続いている。App Storeを通じてアプリを配布しなくても、攻撃者がApp Storeから取得したFairPlayの認証情報を悪用して、悪意のあるアプリをインストールさせているからだ。具体的には、爱思助手 (Aisi Helper)というWindowsクライアントが、その役割を担っている。Aisi Helperは、iOSデバイスのシステムの再インストールや脱獄、バックアップ、デバイス管理といった機能を備えたユーティリティだが、同時にPCに接続したiOSデバイスに不正なアプリをインストールする。悪意のあるiOSアプリはサードパーティのアプリストアにアクセスし、様々な方法でユーザーのApple ID情報を求めてくる。入力してしまうと、その情報はAceDeceiverのC2サーバーに送られる。

ここ数年の間に確認された非脱獄iOSデバイスをターゲットにしたマルウエアは、エンタープライズ向けの証明書を悪用していたが、AceDeceiverはエンタープライズ認証を必要としていない。PCが感染したらバックグラウンドでiOSデバイスに感染を広げるため、ユーザーが気づきにくく、Appleの対応を難しくしている。現時点でAceDeceiverの感染が確認されているのは中国のみだが、こうした攻撃手法が存在していることにPalo Alto Networksは警鐘を鳴らしている。

人気記事

一覧

新着記事

小倉智昭、熱愛報道の川谷絵音を「堂々」- ベッキー"背中ヌード"にびっくり
[12:27 9/29] エンタメ
チャットワーク、セキュリティ設定や管理機能を強化した法人向けプラン
[12:24 9/29] 企業IT
MRJ、北米フェリーフライトの写真公開--グラント・カウンティ空港へ
[12:20 9/29] 趣味
NECソリューションイノベータ、データ分析でブドウの収穫予測を自動判定
[12:16 9/29] 企業IT
わずか3gのBluetoothタグから人工衛星まで、変化を見せたKDDI ∞ Labo
[12:01 9/29] 企業IT