非脱獄iOSデバイスにも静かに感染を広げる新手のマルウエア「AceDeceiver」

 

米セキュリティ企業のPalo Alto Networksは3月16日(現地時間)、iOSをターゲットにした新手のマルウェア「AceDeceiver」を確認したと伝えた。エンタープライズ向けの証明書を悪用することなく、脱獄(ジェイルブレイク)させていないiOSデバイスにも感染し、Apple ID情報などをユーザーから盗み取る可能性があるという。

パソコンのiTunesを使ってApp StoreからiOSアプリを入手し、iOSデバイスにインストールする際に、iOSデバイスは認証コードを要求して、そのアプリがApp Storeから正規に入手されたものか確認する。このiTunesの振る舞いを疑似的に実行することで、iOSデバイスに非正規のアプリをインストールさせることが可能になる。2013年頃から海賊版アプリの配布に用いられていた手法だが、AceDeceiverはそれをマルウエアの拡散に利用している。いわゆる中間者攻撃(MITM: Man-In-The-Middle)である。

Palo Alto Networksによると、2015年7月から2016年2月までの間に、少なくとも3つのAceDeceiverファミリーのアプリが、App Storeの審査を通過して同ストアで配布されていた。それらはマルウエアと判断されて2016年2月にApp Storeから削除されたが、その後もAceDeceiverの攻撃は続いている。App Storeを通じてアプリを配布しなくても、攻撃者がApp Storeから取得したFairPlayの認証情報を悪用して、悪意のあるアプリをインストールさせているからだ。具体的には、爱思助手 (Aisi Helper)というWindowsクライアントが、その役割を担っている。Aisi Helperは、iOSデバイスのシステムの再インストールや脱獄、バックアップ、デバイス管理といった機能を備えたユーティリティだが、同時にPCに接続したiOSデバイスに不正なアプリをインストールする。悪意のあるiOSアプリはサードパーティのアプリストアにアクセスし、様々な方法でユーザーのApple ID情報を求めてくる。入力してしまうと、その情報はAceDeceiverのC2サーバーに送られる。

ここ数年の間に確認された非脱獄iOSデバイスをターゲットにしたマルウエアは、エンタープライズ向けの証明書を悪用していたが、AceDeceiverはエンタープライズ認証を必要としていない。PCが感染したらバックグラウンドでiOSデバイスに感染を広げるため、ユーザーが気づきにくく、Appleの対応を難しくしている。現時点でAceDeceiverの感染が確認されているのは中国のみだが、こうした攻撃手法が存在していることにPalo Alto Networksは警鐘を鳴らしている。

人気記事

一覧

新着記事

加藤浩次、山本との"極楽とんぼ"復活を計画中「ライブの段取りしている」
[19:15 7/30] エンタメ
[鳥人間コンテスト]36チーム参加し琵琶湖で開幕
[19:13 7/30] エンタメ
ロック・リーも登場の舞台「NARUTO」開幕!ビジュアルポイなど新演出も
[19:00 7/30] ホビー
[極楽とんぼ・山本圭壱]10年ぶり地上波登場 古巣めちゃイケに
[18:56 7/30] エンタメ
「おそ松さん」甚平姿で音楽を楽しむ6つ子のグッズ、TSUTAYAにて販売
[18:47 7/30] ホビー