セキュリティ調査会社パロアルトネットワークスは今週末、ジェイルブレイクされたデバイスに影響を及ぼす新たなiOSマルウェアについて報告しました。「AppBuyer」と呼ばれるこのマルウェアは、App Storeでアプリを購入するためにユーザーのApple IDとパスワードを盗むようにプログラムされています。
AppBuyerがどのようにインストールされるかは正確には不明ですが、同グループは、悪意のあるCydia Substrateの改造やPCの脱獄ユーティリティなど、いくつかの方法でインストールされる可能性があると述べています。感染したユーザーは、デバイスにランダムなアプリが定期的にポップアップ表示されると訴えています。
このプログラムはトロイの木馬で、3つのアクションを実行するように設定されています。まず、固有のUUIDを生成するためのEXEファイルをダウンロードし、次にユーザーのIDとパスワードを盗むためのCydia Substrateの改造版をダウンロードし、最後にApp Storeにログインしてアプリを購入するためのユーティリティをダウンロードします。
これを防ぐにはどうすればいいでしょうか?いつものように、海賊版の調整ツールを多く含む、よく知られていない、あるいは「怪しい」リポジトリには近づかないようにすることをお勧めします。また、iFile、iExplorer、その他のソフトウェアを使ってデバイスをチェックし、AppBuyerファイルが含まれているかどうかを確認することもできます。
- /システム/ライブラリ/LaunchDaemons/com.archive.plist
- /bin/updatesrv
- /tmp/updatesrv.log
- /etc/uuid
- /ライブラリ/モバイルサブストレート/ダイナミックライブラリ/aid.dylib
- /usr/bin/gzip
Palo Alto Networksは、AppBuyerがどのようにデバイスにロードされるかはまだ解明されていないため、これらのファイルを削除しても問題が完全に解決しない可能性があると述べています。ただし、カスタムURL、DNS、IPSシグネチャの使用など、アプリをブロックする方法の開発に取り組んでいると述べています。
脱獄したデバイスにマルウェアが侵入したという話は今回が初めてではありません。8月には広告インプレッションを盗むプログラム「AdThief」について、また今年初めにはApple IDとパスワードを盗む悪質アプリ「Unflod」についてお伝えしました。
[Palo Alto Networks、r/jailbreak経由]
