脱獄デバイスを狙うマルウェア「Unflod」に注意

Unflodマルウェア

iOSは非常に安全なプラットフォームだとよく言われますが、これはほぼ真実であり、長年にわたる多くの調査でも裏付けられています。しかし、セキュリティの欠如の原因はプラットフォームではなく、ユーザー自身にある場合もあります。

これを最もよく表すのは、デバイスのジェイルブレイクです。iPhoneやiPadのルートアクセスを取得すると、Appleのウォールドガーデンの外へ踏み出し、知らないうちに信頼できないファイルがデバイスにインストールされるリスクにさらされることになります。

私自身もジェイルブレイクユーザーなので、リスクは十分承知していますが、通常はメリットがデメリットをはるかに上回るため、気にしません。また、ほとんどのジェイルブレイクユーザーも同様に感じていると思います。

とはいえ、数週間前からUnflodと呼ばれる新たなマルウェアがジェイルブレイクされたデバイスを標的にしています。Unflodについてはまだ不明な点が多くありますが、わずかな情報だけでも懸念を抱かせるには十分です…

Unflodに関する最初の言及は昨日Redditに登場しました。Redditユーザーのtdvxさんは、iPhoneで多くのアプリがクラッシュしたため、MobileSubstrate拡張機能を無効化したり有効化したりを繰り返し、最終的に原因となりそうなもの、Unflod.dylibを特定しました。

Unflodとは何ですか?

Redditユーザーのminilover11さんは、さらに詳しく調べた結果、Unflodがマルウェアの特徴をすべて備えており、Apple IDとパスワードを盗み取って中国のどこかに送信するという、懸念すべき証拠を発見しました。彼は次のように説明しています。

Hopper と IDA の両方を使用した結果 (アセンブリや中間コードの読み書きが得意というわけではありませんが)、Unflod.dylib は関数「SSLWrite」をオーバーライドし、Apple の認証サーバー (/WebObjects/MZFinance.woa/wa/authenticate) への SSL 接続で生の plist データから appleId とパスワードおよびそのデータを取得し、23.88.10.4 (表示されるエラーメッセージから判断すると、中国のサイトのようです。中国を非難しているわけではなく、Web サイトが返すテキストから判断しただけです) に送信しているようです。

ドイツのセキュリティコンサルティング会社SektionEinsは自社のブログで、Unflodに関するさらなる調査結果を共有した。

このマルウェアは中国起源と思われる。Unflod.dylibというライブラリとして配布され、ジェイルブレイクされたiOSデバイスの実行中のすべてのプロセスにフックし、SSL接続を傍受する。これらの接続からデバイスのApple IDとパスワードを盗み出し、それらを平文のまま、米国のホスティング会社が管理するIPアドレスを持つサーバーに送信しようとする。これらのサーバーは、中国人顧客向けとみられる。

マルウェアの出所はまだ特定されていませんが、いわゆる「怪しい」リポジトリ（海賊版リポジトリ）のインストールと関連しているようです。つまり、海賊版Tweakを配布するリポジトリをインストールしていた場合、感染している可能性があります（咳咳）。

アンフロードの影響を受けているかどうかを知る方法

感染しているかどうかを確認する最良の方法は、iFileを使って/Library/MobileSubstrate/DynamicLibraries/に移動することです。Unflod.dylibというファイルが表示されている場合は、デバイスにこのマルウェアが感染している可能性があります。

Unflodを削除する方法

Unflodを削除する最も簡単な方法は、/Library/MobileSubstrate/DynamicLibraries/Unflod.dylibに移動してファイルを削除することです。しかし、SektionEinsの指摘によると、Unflod動的ライブラリを削除するだけでは不十分な可能性があります。なぜなら、マルウェアファイルがさらにインストールされたかどうかはまだ不明だからです。

結局のところ、デバイスから潜在的に有害なファイルをすべて確実に削除するには、iTunes で復元するのが最善ですが、これは最終的には脱獄のデータが失われることにつながります。