非脱獄iOSデバイスにも静かに感染を広げる新手のマルウエア「AceDeceiver」

 

米セキュリティ企業のPalo Alto Networksは3月16日(現地時間)、iOSをターゲットにした新手のマルウェア「AceDeceiver」を確認したと伝えた。エンタープライズ向けの証明書を悪用することなく、脱獄(ジェイルブレイク)させていないiOSデバイスにも感染し、Apple ID情報などをユーザーから盗み取る可能性があるという。

パソコンのiTunesを使ってApp StoreからiOSアプリを入手し、iOSデバイスにインストールする際に、iOSデバイスは認証コードを要求して、そのアプリがApp Storeから正規に入手されたものか確認する。このiTunesの振る舞いを疑似的に実行することで、iOSデバイスに非正規のアプリをインストールさせることが可能になる。2013年頃から海賊版アプリの配布に用いられていた手法だが、AceDeceiverはそれをマルウエアの拡散に利用している。いわゆる中間者攻撃(MITM: Man-In-The-Middle)である。

Palo Alto Networksによると、2015年7月から2016年2月までの間に、少なくとも3つのAceDeceiverファミリーのアプリが、App Storeの審査を通過して同ストアで配布されていた。それらはマルウエアと判断されて2016年2月にApp Storeから削除されたが、その後もAceDeceiverの攻撃は続いている。App Storeを通じてアプリを配布しなくても、攻撃者がApp Storeから取得したFairPlayの認証情報を悪用して、悪意のあるアプリをインストールさせているからだ。具体的には、爱思助手 (Aisi Helper)というWindowsクライアントが、その役割を担っている。Aisi Helperは、iOSデバイスのシステムの再インストールや脱獄、バックアップ、デバイス管理といった機能を備えたユーティリティだが、同時にPCに接続したiOSデバイスに不正なアプリをインストールする。悪意のあるiOSアプリはサードパーティのアプリストアにアクセスし、様々な方法でユーザーのApple ID情報を求めてくる。入力してしまうと、その情報はAceDeceiverのC2サーバーに送られる。

ここ数年の間に確認された非脱獄iOSデバイスをターゲットにしたマルウエアは、エンタープライズ向けの証明書を悪用していたが、AceDeceiverはエンタープライズ認証を必要としていない。PCが感染したらバックグラウンドでiOSデバイスに感染を広げるため、ユーザーが気づきにくく、Appleの対応を難しくしている。現時点でAceDeceiverの感染が確認されているのは中国のみだが、こうした攻撃手法が存在していることにPalo Alto Networksは警鐘を鳴らしている。

人気記事

一覧

新着記事

Dialog、TSMC 650V GaN on Siプロセスを採用したパワー半導体を発表
[16:56 8/25] テクノロジー
iCloudの空きが減ってきたときは「ダイエット」で対応!
[16:51 8/25] スマホとデジタル家電
【特別企画】スマホに特化したマンガコンテンツ – タテコミの魅力とは?
[16:48 8/25] エンタメ
親の経済力は子が食べる食品に"格差"を生む - 厚労省の乳幼児栄養調査
[16:34 8/25] ヘルスケア
ソフトバンク、「東京お台場FreeWiFi」に電話認証を導入
[16:26 8/25] スマホとデジタル家電